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文艺 复兴 以 来 ， 源 远 流 长 的 科学 精神 和 逐步 形成 的 学 术 规 范 ， 使 西方 国家 在 自然 科学 
的 各 个 领域 取得 了 垄断 性 的 优势 ; 也 正 是 这 样 的 优势 ， 使 美国 在 信息 技术 发 展 的 六 十 多 年 
间 名 家 辈出 、 独 领 风骚 。 在 商业 化 的 进程 中 ， 美 国 的 产业 界 与 教育 界 越 来 越 紧密 地 结合 ， 
计算 机 学 科 中 的 许多 泰山 北斗 同时 身 处 科研 和 教学 的 最 前 线 ， 由 此 而 产生 的 经 典 科学 著 
作 ， 不 仅 璧 划 了 研究 的 范畴 ， 还 揭示 了 学 术 的 源 变 ， 既 遵循 学 术 规 范 ， 又 自 有 学 者 个 性 ， 
其 价值 并 不 会 因 年 月 的 流逝 而 减退 。 

近年 ， 在 全 球 信 息 化 大 潮 的 推动 下 ， 我 国 的 计算 机 产业 发 展 迅 猛 ， 对 专业 人 才 的 需求 
日 益 迫 切 。. 这 对 计算 机 教育 界 和 出 版 界 都 既是 机 遇 ， 也 是 挑战 ;而 专业 教材 的 建设 在 教育 
战略 上 显得 举足轻重 。 在 我 国信 息 技术 发 展 时 间 较 短 的 现状 下 ， 美 国 等 发 达 国 家 在 其 计算 
机 科学 发 展 的 几 十 年 间 积淀 和 发 展 的 经 典 教材 仍 有 许多 值得 借鉴 之 处 。 因 此 ， 引 进 一 批 国 
外 优秀 计算 机 教材 将 对 我 国 计 算 机 教育 事业 的 发 展 起 到 积极 的 推动 作用 ， 也 是 与 世界 接 
轨 、 建 设 真正 的 世界 一 流 大 学 的 必由之路 。 

机 械 工业 出 版 社 华章 公 司 较 早 意识 到 “出 版 要 为 教育 服务 ”。 自 1998 年 开始 ， 我 们 就 
将 工作 重点 放 在 了 遂 选 、 移 译 国外 优秀 教材 上。 经 过 多 年 的 不 懈 努 力 ， 我 们 与 Pearson， 
McGraw- Hill, Elsevier, MIT, John Wiley & Sons, Cengage 等 世界 著名 出 版 公司 建立 了 
良好 的 合作 关系 ， 从 他 们 现 有 的 数 百 种 教材 中 甄选 出 Andrew S. Tanenbaum, Bjarne 
Stroustrup, Brian W. Kernighan, Dennis Ritchie, Jim Gray, Afred V. Aho, John E. 
Hopcroft, Jeffrey D. Ullman, Abraham Silberschatz, William Stallings, Donald E. Knuth, 
John L. Hennessy, Larry L. Peterson 等 大 师 名 家 的 一 批 经 典 作 品 ， 以 “计算 机 科学 丛书 ” 
为 总 称 出 版 ， 供 读者 学 习 、 研 究 及 珍藏 。 大 理 石 纹理 的 封面 ， 也 正体 现 了 这 套 丛书 的 品位 
和 格调 。 

“计算 机 科学 丛书 ”的 出 版 工作 得 到 了 国内 外 学 者 的 易 力 相助 ， 国 内 的 专家 不 仅 提 供 了 
中 肯 的 选 题 指导 ， 还 不 辞 劳苦 地 担任 了 翻译 和 审 校 的 工作 ;而 原 书 的 作者 也 相当 关注 其 作品 
在 中 国 的 传播 ， 有 的 还 专门 为 其 书 的 中 译本 作 序 。 迄今,“ 计 算 机 科学 丛书 ”已 经 出 版 了 近 
两 百 个 品种 ， 这 些 书籍 在 读者 中 树立 了 良好 的 口碑 ， 并 被 许多 高 校 采用 为 正式 教材 和 参考 书 
籍 。 其 影印 版 “经 典 原版 书库 ”作为 姊妹 篇 也 被 越 来 越 多 实施 双语 教学 的 学 校 所 采用 。 

权威 的 作者 、 经 典 的 教材 、 一 流 的 译 者 、 严 格 的 审 校 、 精 细 的 编辑 ， 这 些 因 素 使 我 们 
的 图 书 有 了 质量 的 保证 。 随 着 计算 机 科学 与 技术 专业 学 科 建 设 的 不 断 完 善 和 教材 改革 的 逐 
渐 深化 ， 教 育 界 对 国外 计算 机 教材 的 需求 和 应 用 都 将 步 人 一 个 新 的 阶段 ， 我 们 的 目标 是 尽 
善 尽 美 ， 而 反馈 的 意见 正 是 我 们 达到 这 一 终极 目标 的 重要 帮助 。 华 章 公 司 欢迎 老师 和 读者 
对 我 们 的 工作 提出 建议 或 给 予 指正 ， 我 们 的 联系 方法 如 下 ， 

华章 网 站 : www. hzbook. com 

电子 邮件 ，hzjsj@hzbook. com 

联系 电话 : (010)88379604 
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进入 21 世纪 ， 以 计算 机 科学 为 代表 的 信息 技术 发 展 迅 猛 ， 一 些 代 表 新 技术 发 展 的 计 
算 技 术 名 词 泉 涌 而 出 ， 如 物 联网 、 互 联网 + 、 云 计算 、 大 数据 、 工 业 4.0 等 ， 而 信息 物理 
融合 系统 (Cyber-Physical System，CPS) 是 其 中 最 为 引 人 关 注 的 技术 热 词 之 一 。CPS 作为 
一 个 正式 的 概念 于 2006 年 由 美国 国家 自然 基金 委员 会 科学 家 Helen Gates 提出 后 ， 就 被 美 
国 、 欧 盟 和 中 国 等 各 国政 府 定位 为 影响 未 来 科技 研究 、 国 家 信息 技术 与 产业 融合 发 展 的 国 
家 战略 目标 ， 并 制定 了 一 系列 的 CPS 技术 研究 和 产业 发 展 计划 。 

从 技术 上 讲 ，CPS 是 为 解决 信息 技术 对 传统 产品 数字 化 后 所 带 来 的 问题 进行 的 一 次 系 
统 性 思考 。 这 些 问 题 包括 : 数值 计算 误差 积累 、 跨 平台 的 计算 时 序 性 、 开 环 控制 的 不 确定 
性 、 分 布 式 计算 的 网 络 时 延 、 多 核 计算 的 调度 性 以 及 长 生命 周期 产品 的 运 维 等 。 这 些 问 题 
逐步 成 为 一 道 阻碍 新 一 代 智能 计算 技术 发 展 必 须 跨 越 的 鸿沟 。 这 就 要 求 计算 技术 专家 必须 
男 辟 计算 科学 的 方法 论 和 实践 工程 技术 ， 指 导 工 程 技 术 人 员 在 产品 的 策划 和 设计 之 初 就 用 
系统 工程 的 观点 ， 考 虑 贯穿 于 产品 全 生命 周期 的 两 类 因素 一 物理 过 程 和 计算 过 程 ， 以 及 
它们 之 间 的 相互 影响 。 

CPS 技术 的 发 展 不 仅 要 继承 戏 人 式 系统 、 网 络 通信 和 控制 论 的 技术 和 方法 ， 同 时 还 要 
对 现 有 理论 、 技 术 框架 进行 突破 和 创新 。CPS 系统 集成 了 计算 过 程 和 物理 过 程 ， 并 且 物 理 
过 程 与 计算 过 程 相互 影响 、 深 度 融 合 。CPS 的 概念 也 指出 了 CPS 的 两 条 发 展 路 径 : 物理 
系统 的 信息 化 和 计算 系统 的 物理 化 。 这 两 条 道路 是 将 导致 CPS 的 研究 、 开 发 和 应 用 的 多 
样 化 发 展 ， 还 是 将 殊途同归 、 形 成 一 套 统一 的 理论 和 方法 ， 还 有 待 于 广大 的 CPS 技术 研 
究 开 发 人 员 通 过 进一步 的 努力 来 验证 ， 我 们 将 拭目以待 。 

本 书 从 计算 理论 的 角度 总 结 了 CPS 技术 必须 考虑 的 理论 方法 ， 并 综合 了 分 布 式 控制 
和 网 络 通信 等 相关 技术 ， 是 一 本 系统 介绍 信息 物理 融合 系统 理论 基础 的 教材 或 者 工具 书 ， 
不 仅 适 合 初 学 者 ， 还 适用 于 有 相关 经 验 的 研究 人 员 和 工程 技术 人 员 。 本 书 不 但 概述 了 信息 
物理 融合 系统 的 基本 原理 ， 而 且 详细 介绍 了 对 此 类 系统 的 规约 、 设 计 、 建 模 和 分 析 等 一 套 
理论 ， 包 括 基于 模型 的 设计 方法 、 并 发 理论 、 分 布 式 算法 、 形 式 化 规约 和 验证 方法 、 控 制 
理论 、 实 时 系统 和 混成 系统 等 ， 并 配 以 案例 分 析 来 阐述 信息 物理 系统 所 涉及 的 分 布 式 算 
法 、 网 络 协议 、 控 制 设计 和 机 器 人 等 多 学 科 分 支 理 论 。 本 书 的 选材 和 作为 教材 的 特点 在 前 
言 和 第 1 章 中 已 有 详 述 ,被 世界 名 校 采 纳 作为 教材 也 充分 说 明了 其 价值 ， 此 处 不 再 著述 。 

本 书 的 翻译 主要 由 董 云 卫 博 士 和 张 雨 博士 共同 完成 ， 西 北 工业 大 学 嵌入 式 系统 实验 室 
AY ARB, RUPE. PAE. PSS. RR. BRA, MIT MESHES TA 
书 的 部 分 翻译 和 校对 ， 他 们 为 本 书 的 出 版 付出 了 辛勤 劳动 。 

由 于 中 西方 文化 背景 上 的 差异 以 及 我 们 的 学 术 和 语言 水 平 的 限制 ， 译 文中 难免 有 不 妥 
甚至 错误 之 处 ， 欢 迎 读者 及 专家 批评 指正 。 


译 者 
2016 年 10 月 1 日 于 西安 


| 前 言 


Principles of Cyber-Physical Systems 


信息 物理 融合 系统 由 能 够 相互 通信 的 计算 设备 组 成 ， 这 些 计 算 设 备 借助 传感器 和 作 动 
器 实现 与 物理 世界 的 交互 。 现 实生 活 中 ,这 样 的 系统 越 来 越 多 ， 从 智能 建筑 到 医疗 设备 再 
到 汽车 都 可 以 看 作 信息 物理 融合 系统 。 在 过 去 的 十 多 年 中 ， 开 发 确保 信息 物理 融合 系统 可 
靠 性 的 设计 和 分 析 工 具 是 一 项 具有 挑战 性 的 工作 ， 它 吸引 了 众多 学 术 界 和 工业 界 的 研究 人 
员 开 展 卓 有 成 效 的 跨 学 科研 究 。 

本 书 的 目标 是 为 信息 物理 融合 系统 的 设计 、 规 约 、 建 模 和 分 析 提 供 一 套 基本 理论 ， 这 
些 理论 勾画 了 开发 信息 物理 融合 系统 所 涉及 的 众多 分 支 学 科 ， 包 括 基于 模型 的 设计 方法 、 
并 发 理论 、 分 布 式 算法 、 规 约 和 验证 的 形式 化 方法 、 控 制 理论 、 实 时 系统 和 混成 系统 。 我 
试图 为 信息 物理 融合 系统 设计 和 分 析 方 法 相关 的 研究 主题 提供 一 套 脉 络 清晰 的 理论 思想 。 
全 书 采用 数学 化 的 建 模 、 规 约 与 分 析 等 概念 ， 并 配 以 案例 研究 图 解 来 阐述 信息 物理 系统 所 
涉及 的 分 布 式 算法 、 网 络 协 议 、 控 制 设计 和 机 器 人 等 多 学 科 分 支 理论 。 

本 教 和 烤 自 成 体系 ， 适 合作 为 计算 科学 、 计 算 机 工程 和 电子 工程 相关 学 科 的 高 年 级 本 科 
生 或 一 年 级 研究 生 一 学 期 课程 的 教材 。 第 1 章 讨论 了 几 种 可 供 选 择 的 课程 组 合 。 

我 对 信息 物理 融合 系统 的 研究 兴趣 萌生 于 20 世纪 90 年 代 和 Tom Henzinger 合作 研究 混 
成 系统 协同 性 。 另 外 ， 本 教材 的 结构 基于 我 与 Tom 合作 撰写 但 未 出 版 的 课堂 讲义 《Computer- 
Aided Verification》( 计 算 机 辅助 验证 )， 其 中 ,第 2 章 和 第 3 章 中 的 一 些 例子 和 图 例 也 来 自 该 讲 
义 ， 并 得 到 Tom AE. A, Tom 对 本 教材 的 贡献 是 不 可 估量 的 ， 我 对 他 表达 崇高 的 敬意 。 

我 对 信息 物理 融合 系统 的 理解 和 本 书 的 内 容 深 受 宾夕法尼亚 大 学 工程 学 院 RECISE 信 
息 物 理 融合 系统 研究 中 心 的 学 生 和 同事 的 影响 。 在 此 ， 我 对 我 的 同事 Vijay Kumar、Insup 
Lee, Rahul Mangharam, George Pappas, Linh Phan, Oleg Sokolsky 和 Ufuk Topcu 给 
予 的 合作 与 支持 表示 敬意 。 同 时 ， 我 还 要 感谢 DARPA 和 NSF 在 信息 物理 融合 系统 研究 
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1.1 什么 是 信息 物理 融合 系统 


最 早 的 计算 机 是 专门 用 来 进行 数值 计算 和 信息 处 理 的 单机 系统 。 时 至 今日 ， 我 们 也 用 
计算 机 处 理 类 似 的 任务 , 但 是 随 着 嵌入 式 系 统 的 出 现 ， 计 算 机 系统 的 作用 已 今 非 背 比 ， 计 
算 机 无 所 不 在 。 上 藤 人 式 系统 是 指 集成 了 计算 机 硬件 和 计算 机 软件 ， 为 完成 特定 目的 而 设计 
的 机 电 或 电子 系统 。 从 手表 到 照相 机 ， 再 到 电 冰 箱 ， 今 天 我 们 所 能 看 到 的 工业 产品 几乎 都 
属于 艇 入 式 系统 ， 因 为 在 这 些 设备 中 集成 了 一 个 微 控 制 器 和 相应 的 软件 系统 。 信 息 物 理 融 
合 系统 是 对 嵌入 式 系统 最 一 般 意 义 的 扩展 。 信 息 物 理 融 合 系 统 由 一 些 能 够 相互 通信 的 计算 
设备 组 成 ， 这 些 计 算 设 备 能 够 通过 传感器 和 作 动 器 与 物理 世界 实现 反馈 闭环 式 交 互 。 这 样 
的 系统 无 所 不 在 ， 并 且 发 展 越 来 越 迅 猛 ， 从 智能 建筑 到 医疗 设备 再 到 汽车 ， 都 是 信息 物理 
融合 系统 的 应 用 。 

自主 移动 机 器 人 团队 就 是 信息 物理 融合 系统 的 一 个 典型 例子 。 给 这 个 能 够 自主 移动 的 
机 器 人 团队 分 配 特 定 的 任务 : 它们 要 从 未 知 的 建筑 平面 图 所 示 的 某 一 间 屋 子 内 识别 和 检索 
某 一 目标 。 为 了 完成 该 目标 ， 每 一 个 机 器 人 都 需要 安装 多 种 传感器 ， 用 来 收集 关于 物理 世 
界 的 相关 信息 。 例 如 ,安装 GPS 接收 器 用 于 跟踪 机 器 人 的 位 置 ， 安 装 照相 机 用 于 获取 周 
围 环境 的 快照 ， 安 装 红外 温度 传感器 用 于 检测 人 的 存在 。 该 系统 主要 的 计算 问题 是 如 何 利 
用 上 述 传感器 所 收集 的 信息 来 构造 建筑 物 的 完整 地 图 ， 这 就 要 求 机 器 人 团队 中 的 每 个 机 器 
人 都 能 够 通过 无 线 链 路 以 协调 方式 进行 信息 交换 。 机 器 人 、 障 碍 物 和 目标 物 的 当前 位 置信 
息 知 识 决定 了 每 一 个 机 器 人 移动 的 规划 。 机 器 人 移动 规划 包括 对 每 一 个 机 器 人 发 出 的 高 级 
命令 ， 诸 如 “以 时 速 5 英里 向 西北 方向 匀速 移动 >。 这 样 的 指令 需要 转换 为 控制 机 器 人 移 
动 的 电机 的 低级 控制 输入 。 设 计 目 标 包括 安全 操作 (如 机 器 人 不 能 被 障碍 物 或 其 他 机 器 人 
绊 倒 )、 任 务 完成 (如 目标 物 能 够 被 机 器 人 找到 ) 和 物理 稳定 性 (如 每 一 个 机 器 人 都 应 该 是 一 
个 稳定 的 动态 系统 )。 要 构造 这 样 一 个 多 机 器 人 协同 系统 来 完成 上 述 设计 目标 ， 就 需要 从 
控制 、 计 算 和 通信 相互 协同 的 方式 来 考虑 设计 策略 。 

尽管 从 20 世纪 80 年 代 起 一 些 特定 形态 的 信息 物理 融合 系统 就 在 工业 领域 得 到 应 用 ， 
然而 直到 最 近 ， 嵌 入 式 系统 产品 的 部 件 才 随 着 处 理 器 、 无 线 通 信和 传感器 等 技术 的 成 熟 以 
较 低 的 成 本 就 能 具备 较 强 的 性 能 。 人 们 逐渐 认识 到 构造 可 靠 的 信息 物理 融合 系统 需要 功能 
强大 的 计算 平台 作为 支撑 ， 而 强大 的 计算 平台 的 开发 则 需要 先进 的 工具 和 开发 方法 。 在 21 
世纪 初 ， 为 了 迎接 这 个 挑战 ， 人 们 开始 研究 集成 控制 、 计 算 和 通信 的 系统 方法 论 ， 这 就 成 
为 一 个 催化 剂 ， 并 形成 了 一 个 不 同 寻 常 的 学 科 一 信息 物理 融合 系统 。 设 计 信 息 物 理 融合 
系统 的 相关 理论 已 经 被 美国 政府 部 门 列 为 主要 优先 研究 的 科学 技术 ， 这 在 汽车 、 航 空 电 
子 、 制 造 业 和 医疗 设备 等 工业 界 也 一 样 被 重视 。 


1.2 信息 物理 融合 系统 的 主要 特征 
从 计算 机 科学 学 科 创 建 开始 ， 对 辅助 开发 人 员 构 建 计算 机 硬件 和 软件 系统 的 理论 、 方 





2 第 1 章 





法 和 工具 开展 系统 化 研究 就 一 直 是 计算 机 科学 的 研究 主题 。 在 经 典 的 计算 机 理论 中 ， 软 件 
理论 研究 只 关注 计算 复杂 性 和 基于 结构 化 编程 的 开发 方法 这 两 个 方面 ， 这 样 的 技术 手段 对 
于 今天 我 们 所 面临 的 复杂 软件 基础 平台 系统 开发 是 很 有 帮助 的 。 然 而 ， 这 些 传 统 的 软件 系 
统 设 计 理 论 却 不 能 直接 用 来 设计 信息 物理 融合 系统 ， 这 是 因为 二 者 在 系统 设计 阶段 的 关注 
存在 巨大 的 差异 。 下 面 我 们 将 讨论 信息 物理 融合 系统 的 主要 特征 。 

反应 式 计算 

在 经 典 的 计算 模型 中 ， 当 我 们 给 计算 设备 提供 一 个 输入 时 ， 它 就 会 产生 一 个 输出 。 例 
如 排序 程序 就 是 这 样 的 一 种 计算 ， 给 程序 输入 一 列 数据 ， 程 序 经 过 计算 后 输出 一 列 经 过 排 
序 的 数据 。 我 们 把 计算 程序 由 输入 到 输出 的 正确 性 用 数学 方法 抽象 为 一 个 函数 。 程 序 的 计 
算 性 和 复杂 性 理论 可 以 帮助 我 们 理解 一 个 函数 是 否 是 可 计算 的 ， 以 及 计算 的 效率 如 何 。 传 
统 的 软件 程序 是 对 函数 或 过 程 的 抽象 ， 这 种 抽象 可 以 很 方便 地 把 简单 函数 进行 组 合 ， 形 成 
复杂 的 函数 ， 进 而 完成 软件 程序 的 开发 。 

相 比 之 下 ， 一 个 反应 式 系统 可 以 与 环境 持续 不 断 地 进行 从 输入 到 输出 的 交互 。 例 如 ， 
在 汽车 的 巡航 控制 器 程序 这 样 一 个 典型 的 反应 式 计算 的 例子 中 ， 当 我 们 希望 改变 汽车 的 行 
驶 速度 时 ， 我 们 就 向 控制 程序 输入 一 个 高 级 输入 命令 : 打开 或 关闭 巡航 控制 器 。 控 制程 序 
就 需要 对 我 们 的 输入 做 出 反应 : 产生 一 个 输出 ， 这 个 输出 就 是 作用 到 汽车 发 动机 油门 的 受 
力 反应 。 同 样 ， 巡 航 控制 系统 的 行为 自然 地 可 用 一 个 能 够 被 观察 到 的 输入 和 输出 序列 来 描 
述 ， 这 种 详细 说 明 输 入 /输出 序列 的 正确 描述 对 应 着 控制 系统 可 接受 的 运行 行为 。 信 息 物 理 
融合 系统 就 是 一 个 反应 式 系统 ， 因 此 本 书 所 关注 的 设计 对 象 就 是 反应 式 计 算 类 型 的 系统 。 

并 发 性 

在 传统 的 顺序 计算 模型 中 ， 计 算是 由 一 个 可 顺序 执行 的 指令 序列 组 成 ， 并 且 在 同一 时 
刻 只 能 有 一 条 指令 执行 。 在 并 发 计算 过 程 中 ， 如 多 线程 (通常 又 称 为 构件 或 进程 ) 计 算 ， 计 
算 构 件 是 可 并 发 执行 的 ， 并 且 计 算 在 执行 过 程 中 ， 并 发 执行 的 构件 之 间 相 互 交换 信息 以 完 
成 最 终 的 计算 目标 。 并 发 性 是 信息 物理 融合 系统 的 基本 特征 。 我 们 给 出 一 个 能 够 自主 移动 
机 器 人 团队 的 例子 。 在 这 个 例子 中 ， 机 器 人 团队 中 的 每 一 个 成 员 都 是 一 个 具有 可 分 离 属 性 
的 个 体 ， 并 且 可 以 并 发 执行 。 每 一 个 机 器 人 都 有 多 个 传感器 和 处 理 器 ， 计 算 任务 由 一 组 与 
环境 相关 的 指令 蓝图 组 成 ， 这 些 指令 包含 了 机 器 人 对 环境 感知 的 视觉 数据 和 运动 路 径 规 划 
信息 ， 并 且 对 这 些 信 息 的 处 理 可 以 分 解 到 不 同 的 处 理 器 中 并 行 运算 。 运 动 路 径 规 划 任 务 可 
以 分 解 为 有 逻辑 关系 的 可 并 发 执行 子 任务 ， 例 如 ， 基 于 局 部 规划 的 避 障 子 任务 和 基于 全 局 
规划 的 向 目标 前 进 的 行走 路 径 子 任务 。 

理解 分 布 式 并 发 计算 系统 模型 和 设计 的 基本 原理 对 信息 物理 融合 系统 开发 是 至 关 重 要 
的 。 对 于 顺序 计算 来 说 ， 图 灵机 模型 被 认为 是 最 经 典 计算 模型 ， 然 而 ， 对 于 并 发 计算 来 
说 ， 还 没有 一 种 现成 的 形式 化 模型 被 广泛 认可 。 广 义 地 讲 ， 当 前 的 计算 模型 可 以 分 为 两 
类 : 1) 同步 模型 :构件 依据 锁 步 协调 运行 ， 并 且 计 算 以 同步 循环 逻辑 顺序 推进 ;2) 异步 
模型 : 构件 以 独立 的 速度 运行 ， 它 们 之 间 通 过 发 送 和 接收 消息 来 交换 运行 所 需 的 信息 。 这 
两 种 计算 模型 对 信息 物理 融合 系统 的 设计 是 非常 有 用 的 。 在 我 们 的 例子 中 ， 机 器 人 系统 可 
以 看 作 由 多 个 能 够 交换 信息 的 机 器 人 个 体 组 成 的 一 种 异步 系统 。 为 了 便于 机 器 人 个 体 计算 
过 程 设计 的 简单 化 ,一 个 机 器 人 的 计算 过 程 可 以 分 解 为 依据 某 种 同步 钦 辑 方式 而 并 发 执行 
的 许多 活动 。 

物理 世界 的 反馈 控制 

控制 系统 与 物理 世界 以 反馈 回路 方式 进行 交互 ， 这 种 交互 过 程 是 通过 传感器 来 测量 环 
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境 信息 变化 ， 并 通过 作 动 器 来 对 环境 施加 影响 。 例 如 ， 轿 车 的 巡航 控制 器 不 停 地 监视 轿车 
的 行驶 速度 ， 并 适时 调整 油门 ， 以 确保 轿车 的 行驶 速度 接近 期 望 的 巡航 速度 。 轿 车 控制 器 
就 是 一 种 信息 物理 融合 系统 的 构件 ， 它 们 与 传统 的 计算 机 不 同 ， 信 息 物 理 融 合 系统 中 的 计 
算 设 备 与 物理 装置 集成 在 一 起 。 

对 于 控制 器 的 设计 来 说 ， 物 理 装 置 要 求 对 物理 量 进 行动 态 建 模 : 为 了 调整 油门 的 受 
力 ， 巡 航 控制 器 需要 建立 轿车 行驶 的 速度 模型 ， 该 模型 把 速度 看 作 油门 随时 间 而 变化 的 函 
数 。 动 态 控制 系统 的 设计 和 分 析 有 一 套 完整 的 理论 ， 这 些 基 本 原理 包含 了 丰富 的 数学 工 
具 ， 理 解 这 些 基 本 原理 对 信息 物理 融合 系统 的 设计 者 来 说 是 最 基本 的 要 求 ， 也 是 非常 有 价 
值 的 。 传 统 的 控制 理论 只 关注 连续 时 间 系 统 。 在 信息 物理 融合 系统 中 ， 组 成 控制 器 的 软件 
是 离散 的 ， 软 件 由 可 并 发 执行 的 构件 组 成 ， 它 们 可 能 有 多 种 运行 模式 ， 并 且 能 够 与 连续 演 
化 的 物理 世界 进行 交互 。 这 样 的 系统 又 称 为 混成 系统 ， 它 是 由 离散 的 计算 过 程 和 连续 动态 
过 程 混合 而 成 。 这 种 系统 的 控制 器 设计 和 分 析 所 需 的 基本 理论 正 是 本 书 所 讨论 的 主题 。 

实时 计算 

编程 语言 、 支 持 操 作 系 统 和 处 理 器 体系 结构 的 基础 设施 ， 通 常 都 不 支持 实时 的 具体 表 
示 方 式 。 它 们 对 传统 的 计算 应 用 ， 如 文件 处 理 ， 提 供 了 较为 方便 的 抽象 ， 但 是 实时 性 能 对 
于 信息 物理 融合 系统 来 说 是 非常 重要 的 。 倒 如 ， 巡 航 控制 器 为 了 满足 控制 轿车 速度 的 需 
要 ， 设 计 控 制 器 时 ， 需 要 把 组 成 控制 器 的 子 构件 的 计算 执行 和 通信 消耗 时 间 考 虑 进去 。 

通过 对 时 间 延 迟 建 模 、 理 解 时 间 延 迟 对 需求 正确 性 、 系 统 性 能 、 时 间 依 赖 的 协调 协议 
和 资源 分 配 策略 等 属性 的 影响 ， 能 确保 实时 系统 相关 属性 的 可 预测 性 ， 这 也 是 实时 系统 的 
一 个 分 支 的 研究 主题 。 研 究 信 息 物 理 融 合 系统 的 设计 和 实现 理论 方法 的 目的 就 是 要 基于 这 
些 技术 来 构造 信息 物理 融合 系统 。 

安全 依 关 应 用 

当 设 计 和 实现 一 套 巡 航 控制 器 时 ， 系 统 中 的 一 些 错误 可 能 会 导致 系统 产生 一 些 不 可 接 
受 的 后 果 ( 如 导致 死亡 )， 因 此 ， 我 们 希望 在 较 高 的 层次 上 保证 系统 操作 的 正确 性 。 一 些 应 
用 系统 在 设计 时 ， 把 系统 安全 性 设计 提高 到 优先 于 其 他 属性 (如 系统 性 能 、 开 发 成 本 等 ) 的 
级 别 ， 这 类 的 应 用 称 为 安全 做 关 应 用 。 例如， 航空 电子 、 汽 车 电子 和 医疗 设备 等 信息 物理 
融合 系统 中 的 计算 设备 就 是 安全 依 关 应 用 。 基 于 此 观点 ， 我 们 需要 建立 这 样 的 概念 : 在 设 
计 阶 段 就 需要 确保 系统 可 正确 地 工作 是 至 关 重 要 的 ， 并 且 ， 有 的 时 候 也 是 政府 对 这 类 系统 
认证 的 相关 法 规 的 强制 性 要 求 。 

传统 的 系统 开发 流程 是 设计 、 实 现 、 广 泛 的 测试 和 对 检测 到 的 错误 逐一 验证 。 此 外 ， 
还 有 更 多 理论 方法 用 于 系统 开发 ， 包 括 数学 计算 误差 精度 需求 的 实现 、 支 持 系统 操作 环境 
的 系统 构件 的 模型 设计 、 利 用 分 析 工 具 对 系统 模型 满足 需求 进行 检查 等 。 与 传统 的 开发 方 
法 相 比 ， 这 些 方 法 能 够 在 系统 开发 早期 检测 到 系统 设计 中 存在 的 错误 ， 确 保 系统 具有 较 高 
的 可 靠 性 。 这 些 基 于 形式 化 模型 和 验证 方法 的 安全 依 关 应 用 开发 方法 日 益 被 行业 采用 ， 这 
也 是 本 书 集中 讨论 的 主题 。 


1.3 研究 主题 概述 


本 书 的 目标 是 介绍 信息 物理 融合 系统 的 基本 原理 方法 ， 包 括 系统 设计 、 规 约 、 建 模 和 
分 析 方 法 。 为 了 突显 信息 物理 融合 系统 的 重要 特征 ， 本 书 主要 针对 基于 模型 的 设计 、 并 发 
理论 、 分 布 式 算法 、 规 约 和 验证 的 形式 化 方法 、 控 制 理 论 、 实 时 系统 和 混成 系统 等 分 支 学 
科 ， 从 不 同 侧面 对 信息 物理 融合 系统 进行 描述 。 现 有 的 研究 资料 和 教材 力求 对 这 些 技 术 原 
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理 进 行 阐述 ， 并 着 重 解释 信息 物理 融合 系统 在 设计 和 分 析 过 程 中 需要 用 到 的 上 述 理论 方法 
中 的 有 关 核 心 概念 ， 这 也 是 本 书 致力 实现 的 目标 。 本 书 主要 讨论 形式 化 模型 、 基 于 模型 的 
设计 ， 以 及 规约 与 分 析 三 个 方面 ， 并 把 这 三 个 方面 交织 起 来 讲述 ， 下 面 就 这 三 个 方面 的 主 
题 进行 具体 阐述 。 

形式 化 模型 

系统 设计 过 程 中 对 系统 进行 建 模 的 目的 是 为 复杂 系统 设计 的 管理 提供 一 种 数学 抽象 手 
段 。 在 反应 式 系 统 模型 中 ， 构 件 是 模型 的 基本 单元 ， 它 通过 输入 和 输出 与 环境 进行 交互 。 
不 同 的 交互 方式 可 以 设计 成 不 同类 的 模型 。 我 们 从 第 2 章 开始 关注 同步 建 模 ， 所 有 同步 模 
型 中 的 构件 都 将 遵循 锁 步 依次 执行 。 在 第 4 章 中 ， 我 们 将 关注 异步 模型 ， 在 这 类 模型 中 不 
同 活动 可 以 以 不 同 的 速度 独立 执行 。 在 第 6 章 中 ， 我 们 将 研究 动态 系统 的 连续 时 间 模 型 ， 
这 种 模型 适合 于 刻画 物理 世界 动态 演化 的 属性 。 第 7 章 介绍 时 间 模 型 ， 该 类 模型 通过 具体 
的 时 间 延 迟 边界 为 描述 构件 之 间 交 互 的 时 间 属 性 提供 便利 。 最 后 ， 第 9 章 通过 集成 离散 交 
互 和 动态 系统 来 研究 混成 系统 。 

为 了 描述 模型 ， 我 们 综合 应 用 方 框图 、 代 码 段 、 状 态 机 和 微分 方程 等 方法 来 对 系统 进 
行 建 模 。 我 们 采用 一 种 精确 的 数学 描述 方法 来 形式 化 地 定义 模型 ， 利 用 该 模型 的 形式 语义 
可 帮助 我 们 回答 诸如 此 类 的 棘手 问题 “系统 构件 可 能 包含 的 行为 有 哪些 ?” 和 “构件 组 合 
后 导致 的 结果 是 什么 ?” 等 。 本 书 介绍 的 建 模 概念 的 例子 包括 : 非 确 定性 行为 、 构 件 的 输 
入 /输出 接口 、 时 间 触 发 和 时 间 触 发 的 通信 、 同 步 组 合 的 等 待 依赖 、 共 享 内 存 通 信 、 同 步 
原 语 的 原子 性 、 蜡 步 系统 的 公平 性 、 动 态 系统 的 均衡 性 、 时 间 与 混成 系统 的 奇 诺 (Zeno) 行 
为 等 。 

规约 与 分 析 

为 了 验证 系统 设计 (或 系统 实现 ) 是 否 满足 如 预期 设想 的 正确 性 ， 系 统 设 计 者 首先 需 用 
数学 精确 方式 来 正确 地 刻画 所 捕获 的 系统 需求 。 然 后 ， 设 计 者 可 以 用 分 析 工 具 对 系统 需求 
进行 验证 。 本 书 讨论 需求 的 形式 化 规约 方法 ， 以 及 与 形式 化 验证 相关 的 技术 。 

第 3 章 介 绍 安 全 性 需求 。 安 全 性 需求 可 以 表述 为 : 任何 坏 的 状态 (或 事件 ) 都 不 会 发 
生 ， 并 且 可 以 用 不 变量 或 监视 器 来 形式 化 地 描述 。 我 们 首先 选择 归纳 不 变量 的 通用 技术 来 
证 明 一 个 系统 是 否 满足 安全 性 规约 ， 并 且 利 用 状态 空间 搜索 算法 来 自动 构建 安全 性 属性 。 
这 类 算法 包括 枚 举 和 符号 搜索 算法 ， 包 括 使 用 有 序 二 又 判定 图 (BDD) 的 数据 结构 的 符号 搜 
索 算 法 ， 该 算法 通常 用 于 硬件 验证 。 由 于 信息 物理 融合 系统 中 存在 时 间 相 关 的 动态 连续 变 
量 ， 所 以 这 给 信息 物理 融合 系统 的 安全 性 验证 提出 了 新 的 挑战 。 为 了 验证 系统 的 混成 动态 
属性 ， 我 们 研究 基于 李 栏 函数 (barrier certificate) 和 符号 搜索 算法 的 系统 证 明 方 法 ， 这 两 
类 特殊 的 验证 方法 称 为 时 间 自 动机 和 线性 混成 自动 机 。 

第 5 章 介绍 活性 需求 : 这 种 规约 可 以 描述 为 “好 的 事件 最 终 会 发 生 ”。 我 们 介绍 时 序 
逻辑 线性 时 序 逻 辑 (CLTL) 来 形式 化 地 表示 这 样 的 正确 活性 需求 ， 并 说 明 为 了 便于 捕获 
LTL 需求 ， 监 控 器 如 何 生成 Biichi 自动 机 。 模 型 检验 是 一 种 对 系统 模型 的 LTL 需求 进行 
自动 化 验证 的 常用 方法 。 不 管 是 枚 举 还 是 状态 空间 搜索 技术 ， 最 终 都 可 归 类 为 求解 模型 检 
验 问 题 ， 并 且 活 性 需求 也 可 以 用 一 种 称 为 排名 函数 的 通用 证 明理 论 来 证 明 。 

对 于 动态 系统 来 说 ， 最 基本 的 设计 需求 在 于 系统 是 否 具有 稳定 性 ， 它 的 非 形式 化 表 式 
是 指 系统 的 一 个 微小 的 输入 扰动 不 会 导致 系统 可 观察 行为 的 不 对 称 变化 。 该 属性 是 控制 论 
的 经 典 话题 ， 将 在 第 6 章 中 讨论 ， 本 书 也 会 特别 介绍 线性 系统 。 在 此 类 系统 建 模 中 ， 使 用 
线性 代数 是 非常 有 效 的 设计 系统 稳定 性 模型 的 数学 工具 。 
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在 实现 嵌 人 式 系统 时 ， 一 个 主要 的 问题 是 如 何 建立 时 间 延 迟 分 析 模 型 ， 该 模型 需要 能 
够 刻画 系统 模型 中 不 同 任务 在 给 定 的 计算 平台 上 运行 时 ， 关 于 时 间 延 迟 与 模型 级 别 假设 的 
一 致 性 。 实 时 调度 理论 的 目标 就 是 对 此 类 问题 进行 形式 化 描述 ， 并 提供 相应 的 解决 方法 ， 
该 内 容 将 在 第 8 章 中 讨论 。 LE ee ia 最 早 截止 期 优先 (EDF) 
算法 和 单调 速率 算法 。 

基于 模型 的 设计 和 案例 研究 

建 模 、 规 约 和 分 析 的 理论 可 通过 系统 设计 问题 的 构造 方法 进行 阐述 ， 如 分 布 式 算法 、 
网 络 协议 、 控 制 设 计 和 机 器 人 技术 。 我 们 将 阐述 建 模 与 编程 的 区 别 ， 例 如 ， 能 够 对 非 确 定 
性 行为 进行 规约 ， 也 可 以 包括 环境 行为 的 显 式 模型 。 在 设计 基于 模型 的 解决 方案 时 ， 需 要 
强调 两 个 原则 : 

1) 结构 化 设计 : 简单 的 构件 可 以 组 装 在 一 起 来 执行 多 个 复杂 的 任务 ， 相 反 地 ， 一 个 
设计 问题 可 以 分 解 为 多 个 简单 的 子 任务 。 

2) 基于 需求 的 设计 : 在 前 面 准确 说 明正 确 性 需求 ， 而 且 在 早期 阶段 还 可 用 来 指导 设 
计 的 选择 和 调试 。 

我 们 研究 互 斥 、 一 致 性 和 首 项 选择 等 的 经 典 分 布 式 协调 问题 。 这 些 问题 在 本 教材 中 会 
反复 介绍 ， 并 且 还 会 强调 介绍 协同 原 语 对 系统 设计 的 影响 。 另 外 ， 还 将 重点 讲述 消息 通信 
的 问题 ， 包 括 : 在 有 损 网 络 中 如 何 可 靠 地 传递 信息 ; 在 通信 过 程 中 由 于 时 钟 缺陷 导致 时 间 
不 确定 性 时 ， 如 何 同步 信息 的 发 送 者 和 接受 者 。 我 们 通过 巡航 控制 器 设计 的 例子 来 说 明 如 
何 用 低层 级 PID 控制 器 设计 框图 来 开展 集成 化 同步 设计 。 教 材 内 容 还 包括 信息 物理 融合 系 
统 的 案例 研究 : 设计 心脏 起 搏 器 监视 器 和 心脏 起 搏 器 的 时 间 模 式 反应 器 ; 设计 机 器 人 团队 
协调 避 障 系统 和 多 跳 网 络 通信 稳定 控制 器 。 


1.4 课程 组 织 指 南 


本 书 适合 作为 计算 机 科学 、 计 算 机 工程 和 电子 工程 等 专业 高 年 级 本 科 生 或 一 年 级 研究 
生 一 个 学 期 课时 的 教材 。 本 节 将 对 课程 组 织 给 出 一 些 建 议 。 

先 修 课 程 

本 教材 重点 讲述 了 信息 物理 融合 系统 的 建 模 、 设 计 、 规 约 和 分 析 的 基本 原理 。 这 些 原 
理 涉 及 许多 数学 知识 ， 如 微 积 分 、 离 散 数学 、 线 性 代数 和 逻辑 学 等 。 教 材 中 的 许多 概念 来 
源 于 微 积分 ， 因 此 这 些 题目 中 的 课程 不 是 先 修 课程 。 然 而 ,学习 本 教材 并 不 要 求 完 全 掌握 
这 些 基 本 知识 。 当 然 ， 要 正确 理解 本 教材 的 内 容 ， 也 需要 掌握 一 些 必 要 的 数学 理论 知识 。 
本 教材 适用 对 象 是 完成 了 先 修 理论 知识 、 计算 机 科学 课程 (如 离散 数学 和 计算 理论 ) 或 电子 
工程 课程 (信号 和 系统 、 动 态 系统 ) 的 学 生 。 

在 本 教材 中 ， 我 们 讨论 应 用 系统 的 设计 问题 ， 这 些 应 用 包括 控制 系统 、 分 布 式 协调 系 
统 、 网 络 通信 协议 和 机 器 人 。 在 每 一 个 案例 研究 中 ， 需 要 具备 相关 数学 理论 基础 来 曾 述 应 
用 领域 的 基本 约束 条 件 ， 而 不 需要 明确 的 背景 知识 。 然 而 ， 要 很 好 地 理解 教材 中 的 案例 ， 
具有 软件 或 系统 设计 与 实现 相关 的 一 些 经 验 是 需要 的 。 这 些 经 验 可 以 从 面向 本 科 生 开设 的 
一 些 课 程 中 获得 ， 例 如 ， 操 作 系 统 和 程序 开发 等 计算 机 科学 课程 、 机 械 或 控制 系统 等 电子 
工程 课程 。 

章节 选择 

课时 量 为 一 学 期 的 课程 不 需要 讲解 课本 的 全 部 内 容 。 图 1-1 显示 了 各 章 之 间 的 依赖 关 
系 ， 它 可 以 作为 组 织 本 课程 教学 各 章节 内 容 的 指导 。 即 便 要 把 标 有 星 号 的 可 选 内 容 略 过 ， 








图 1-1 各 章 之 间 的 依赖 关系 


快 节奏 课程 组 织 方式 ， 其 目的 是 涵盖 建 模 、 设 计 、 规 约 和 验证 的 所 有 内 容 ， 这 种 组 织 
方式 在 宾 尹 福 尼 亚 大 学 讲授 了 多 年 ， 证 明 是 可 行 的 。 如 果 选 择 这 种 课程 组 织 方 式 ， 我 们 推 
荐 跳 过 3.3 节 、5.3 节 、6.4 节 、7.2 节 和 9. 3 节 等 。 

基本 课程 组 织 方式 ， 只 关注 与 建 模 和 设计 相关 的 内 容 ， 忽 略 分 析 和 验证 技术 。 在 组 织 
此 方式 下 3 3.377, 3.497, 5.2 节 、5.3 节 、'6i4 节 、7.3 节 和 953 节 可 以 跳 过 不 讲 。 然 
而 ， 我们 还 是 推荐 有 些 内 容 需 要 要 重点 讲解 ， 如 原则 性 设计 中 的 形式 化 规约 需求 ， 因 此 应 
该 包括 规约 的 形式 化 方法 。 

第 三 种 课程 组 织 方式 是 通过 删除 第 6、8 和 9 章 来 缩小 教学 范围 。 这 种 教学 方式 只 关 
注 反应 式 系统 的 建 模 、 设 计 、 规 约 和 验证 技术 ， 不 包括 计算 系统 与 物理 世界 交互 的 建 模 。 

作业 和 项 目 

在 每 一 章 内 容 之 后 都 设计 了 大 量 的 作业 ， 和 希望 学 生 能 够 用 严格 的 数学 方法 来 解答 作业 
中 提出 的 问题 。 一 些 具有 挑战 性 的 作业 已 用 星 号 进行 了 标识 。 

除了 设计 了 一 些 解决 方法 理论 性 强 的 作业 外 ， 教 材 还 提供 了 一 些 应 用 项 目 来 训练 软件 
的 建 模 和 分 析 方 法 。 本 教材 仅 限于 讨论 一 般 义 上 的 建 模 概念 ， 不 与 特定 软件 设计 工具 的 具 
体 含 义 的 概念 表述 相关 联 。 下 面 给 出 一 些 设 计 项 目的 例子 ， 

1) 同步 建 模 与 符号 安全 性 验证 (第 2 章 和 第 3 章 ): 其 中 一 个 项 目 就 是 关注 同步 硬件 设 
计 ， 如 仲裁 者 和 片上 通信 协议 的 设计 与 验证 。 该 项 目 帮助 读者 理解 子 构件 的 层次 组 成 。 建 
模 项 目 可 使 用 行业 标准 硬件 描述 语言 ， 如 VHDL 和 Verilog( 参 见 vhdl .org) 等 。 作 为 完 
成 该 项 目 设计 的 备 选 方案 ， 也 可 采用 学 术 建 模 工具 NuSmv( 参 见 nusmv .fbk. eu) 来 设计 
系统 ， 该 工具 采用 基于 BDD 的 符号 状态 空间 搜索 方法 来 实现 系统 建 模 和 需求 验证 。 

2) 异步 建 模 和 模型 检查 (第 4 章 和 第 5 章 ): 关于 分 布 式 协议 的 设计 (例如 ， 实 现 现 代 
多 处 理 器 系统 之 间 协 调 访 问 的 全 局 共享 内 存 的 高 速 缓存 一 致 性 协议 )， 可 采用 建 模 工具 
Spin( 人 参见 spinroot .com) 来 对 多 处 理 器 之 间 的 异步 通信 进行 建 模 。 该 工具 允许 用 户 使 用 
时 态 逻 辑 方法 对 系统 的 安全 性 和 活性 需求 进行 详细 说 明 ， 并 采用 模型 检测 方法 对 协议 的 正 
确 性 进行 调试 。 

3) 动态 系统 的 控制 设计 (第 6 章 ): 关于 控制 系统 的 课程 中 有 一 个 传统 的 项 目 ， 该 项 
目 涉及 的 控制 器 模型 包含 了 物理 系统 的 建 模 。 然 后 采用 线性 代数 的 工具 实现 组 合 系统 的 稳 
定性 。 动 态 系统 建 模 这 类 的 项 目 比 较 适 合 于 教学 活动 。Mathworks 公司 开发 的 软件 工具 
Matlab( 参 见 mathworks .com) 通 常用 于 动态 系统 建 模 ， 此 类 问题 的 典型 例子 是 设计 一 个 
摆 钟 控制 器 的 模型 ， 该 控制 器 的 钟 摆 移 动 到 最 高 点 垂直 位 之 后 就 会 向 反方 向 回 摆 。 
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4) 时 间 系 统 的 建 模 与 验证 (第 7 章 ): 建 模 工具 Uppaal (Bh uppaal .org) 支 持 交互 
时 间 自 动机 建 模 和 基于 符号 状态 空间 搜索 的 安全 性 属性 的 验证 。 医 疗 设备 中 的 控制 算法 就 
是 此 类 案例 研究 ， 该 算法 采用 基于 需求 的 设计 与 分 析 方 法 对 心脏 起 搏 器 自动 注入 和 泵 模型 来 
进行 设计 与 验证 ， 也 可 以 对 心脏 起 搏 器 模型 进行 精 化 。 

5) 混成 系统 建 模 与 模拟 (第 9 章 ): 建 模 工 具 Stateflow 和 Simulink (参见 math- 
works .com)、Modelica( 参 见 modelica.org) 和 Ptolemy( 参 见 ptolemy.org) 支 持 混成 
系统 的 结构 化 建 模 。 多 机 器 人 协调 项 目 提 供 了 丰富 的 问题 域 ， 可 利用 这 些 建 模 工具 对 信息 
物理 融合 系统 进行 设计 与 分 析 。 该 项 目的 分 析 目 标 是 帮助 学 生理 解 如 何 利用 数值 模拟 方法 
对 不 同 设计 变量 进行 折 中 。 ù 

补充 阅读 

对 于 要 求 高 可 信 的 嵌入 式 及 信息 物理 融合 系统 设计 的 新 科学 案例 ， 在 过 去 的 十 多 年 中 
已 开展 了 许多 研究 (参见 [Lee00，SLMR05，KSLB03，HS06，SV07]) 。 现 在 ， 这 个 分 支 
学 科 又 有 了 一 个 生机 勃勃 的 学 术 研 究 社 区 ， 每 年 举行 一 次 的 学 术 会 议 “Embedded Sys- 
tems Week” (参见 esweek.org) 和 “Cyber-Physical Systems Week” (人 参见 cpsweek. 
org)， 展 现 信息 物理 融合 系统 的 研究 现状 和 发 展 趋势 。 

«Introduction to Embedded Systems 沪 LS11] 是 一 本 与 我 们 选 题 和 内 容 最 为 接近 的 教 
材 ， 也 是 本 书 最 有 价值 的 参考 书 。 相 比 之 下 , (Introduction to Embedded Systems)(LS11] 
的 选 题 范围 更 为 宽泛 ， 例 如 ， 它 还 讨论 了 和 内 入 式 应 用 的 处 理 器 体系 结构 ， 而 本 书 则 对 分 析 
与 验证 技术 的 开发 进行 了 更 加 深入 的 讨论 ， 并 提供 了 相应 的 案例 研究 。 

还 有 一 些 参 考 书 与 本 书 讲解 的 主题 相关 ， 可 对 深入 学 习 相 关内 容 提 供 帮助 。 参 考 书 
LHal93] 关 注 于 同步 模型 ， 讨 论 了 基于 模型 设计 的 理论 基础 。 参 考 书 [Mar03] 重 点 介绍 髓 
人 式 系统 设计 方法 ， 参 考 书 [Ptol14] 重 点 介绍 采用 集成 异 构 模 型 的 建 模 方 法 来 设计 系统 。 
在 内 容 丰 富 的 分 布 式 系统 参考 资料 中 ， 参 考 书 [Lyn96 ] 和 [CM88] 介 绍 了 范围 广泛 的 分 布 
式 算法 ， 强 调 了 形式 化 建 模 、 正 确 性 需求 和 验证 等 内 容 。 为 了 介绍 形式 化 逻辑 及 其 应 用 的 
软件 验证 方法 ,我 们 推荐 参考 书 LHR04] 和 [BM07]。 参 考 书 LCGP00] 和 [LBK08] 着 重 介绍 
了 自动 化 验证 和 模型 检测 方法 。 参 考 书 [Lam02] 阐 述 了 反应 式 系 统 使 用 的 规约 和 开发 的 逻 
辑 方法 。 动 态 系统 讲解 的 内 容 与 线性 系统 控制 器 设计 方法 相关 ， 有 许多 经 典 的 参考 书 可 以 
借鉴 ， 包 括 LAM06] 和 [LFPE02]。 实 时 系统 介绍 的 内 容 强调 系统 的 可 调度 性 ， 可 参见 
[But97] 和 [Liu00]。 最 后 ， 还 有 一 些 研 究 专 著 ， 如 [Tab09]、[Pla10] 和 [LA14]， 它们 关 
注 于 混成 系统 的 形式 化 建 模 、 控 制 和 验证 方法 。 
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当 我 们 给 一 个 功能 构件 提供 一 个 输入 时 ， 它 就 会 产生 输出 ， 并 且 可 以 用 数学 方法 把 系 
统 的 这 种 行为 依据 输入 与 输出 的 关系 描述 为 一 种 映射 关系 。 相 应 地 ， 反 应 式 构件 能 够 通过 
这 种 持续 的 输入 与 输出 的 映射 关系 来 维持 系统 内 部 状态 ， 以 及 与 其 他 构件 之 间 的 交互 。 我 
们 首先 重点 讨论 反应 式 计算 的 离散 和 同步 模型 ， 这 类 系统 中 的 所 有 构件 都 循环 依次 执行 。 
在 每 次 循环 中 ， 反 应 式 构件 读 取 输 入 ， 基 于 它 的 当前 状态 和 输入 ， 它 计算 输出 ， 并 更 新 自 
已 的 内 部 状态 。 


2.1 反应 式 构件 


作为 第 一 个 示例 ， 我 们 考虑 图 2-1 所 示 的 Delay 构件 。 该 构件 有 一 个 布尔 值 输入 变量 
in， 一 个 布尔 值 输出 变量 out， 以 及 由 一 个 布尔 变量 z 表示 的 内 部 状态 。 为 了 描述 构件 的 
行为 ， 我 们 首先 需要 描述 状态 变量 的 初始 值 。 对 于 Delay 构件 而 言 ， 假 设 x 的 初始 值 为 
0。 在 每 次 循环 中 ， 该 构件 根据 起 始 时 刻 状态 变量 z 的 值 设置 输出 变量 out， 同 时 将 该 状态 
工作 为 当前 循环 的 输入 变量 进行 更 新 。 因此 ， 第 一 次 Paocts=0" Teac) ut 
循环 的 输出 为 0， 在 随后 的 每 次 循环 中 ， 其 输出 都 等 oy oa 
于 上 一 次 循环 的 输入 。 


2.1.1 变量 、 值 和 表达 式 
为 准确 表达 构件 定义 的 各 个 方面 ， 我 们 需要 介绍 一 些 数 学 概念 ， 诸 如 ， 变 量 、 变 量 表 





bool in 






图 2-1 “反应 式 构件 Delay 








达 式 ， 以 及 变量 的 赋值 。 我 们 利用 型 参 (Typed variable) 描 述 构 件 。 常 用 的 型 参 类 型 有 : 
e nat 一 一 表示 自然 数 集 。 
e int 一 一 表示 整数 集 。 
è real 表示 实数 集 。 
© bool 一 一 表示 布尔 值 {0，1} 的 集合 。 
o 榴 举 类 型 是 包含 有 限 数量 符号 常量 的 集合 。 例 如 ， 一 个 二 值 集合 的 枚 举 型 参 可 





以 表示 为 {on，off}。 

给 定 一 个 型 参 集合 V，V 上 的 一 个 赋值 是 对 V 中 所 有 变量 的 类 型 一 致 的 赋值 。 也 就 是 
W, V 上 的 一 个 赋值 是 一 个 定义 域 为 V 的 函数 gqg， 使 得 对 任意 变量 vEV，g(v) 是 一 个 属于 
类 型 "的 值 。 我 们 用 Q 表示 V 上 的 所 有 值 的 集合 。 例 如 ， 若 包含 两 个 变量 ， 变 量 z 为 
bool RH, Bit y 为 nat 类 型 ， 那 么 赋值 g 将 给 xz 赋予 一 个 布尔 值 ， 给 y 赋予 一 个 自然 
数 。 集 合 Qy 包含 上 述 所 有 可 能 的 赋值 。 

型 参 集合 V 上 的 型 参 表达 式 e 是 由 V 中 的 变量 、 常 量 ， 以 及 与 这 些 变 量 相 对 应 的 这 些 
类 型 上 的 原始 运算 构成 的 。 对 于 数字 类 型 ， 如 nat. int 和 real 等， 我们 将 利用 算术 运 
算 ， 如 加 法 、 乘 法 和 比较 运算 (如 二、 三 )。 为 建立 布尔 表达 式 ， 我 们 利用 如 下 的 逻辑 
算 子 : 

e (=): 当 e 的 值 为 0 时 ， 表 达 式 me 的 值 为 1。 
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e 合 取 ( 八 ); 当 e 和 es 的 值 都 为 1 时 ， 表达 式 e Nee 的 值 为 A 
e 析 取 (V): 当 e Me 的 值 至 少 有 一 个 为 工时 ， 表 达 式 e Ve. 的 值 为 1。 
e A>): 4a 的 值 为 0 或 es 的 值 为 lif, KER ea 一 ez 的 值 为 1。 


2.1.2 输入 、 输 出 和 状态 


图 2-1 的 Delay 构件 有 一 个 输入 变量 、 一 个 输出 变量 和 一 个 状态 变量 。 一 般 来 说 ， 一 
个 构件 C 有 一 个 输入 型 参 集合 I、 一 个 输出 型 参 集合 O 和 一 个 状态 型 参 集合 S。3 个 集合 
都 是 有 限 集 。 为 避免 变量 名 之 间 的 冲突 ， 这 些 集合 彼此 之 间 不 相交 。 

对 于 Delay 构件 ， 有 I= {in}, O= {out} HM S={x}. 

在 图 2-1, FRAG HE Ro OE, A eit. ABA — 9 TE HE SL A 
箭头 ， 对 每 个 输出 变量 ， 都 有 一 个 引出 箭头 。 这 些 箭头 标记 有 相应 的 变量 名 称 和 类 型 。 状 
态 变量 在 构件 框 内 列 出 。 

反应 式 构件 C 的 一 个 输入 是 输入 型 参 集合 工 上 的 一 个 赋值 ， 所 有 可 能 的 输入 集合 为 
Qi， 构 件 C 的 给 出 是 一 个 在 输出 型 参 集 @ 上 的 赋值 ， 所 有 可 能 的 输出 集 为 Qos HI C HI 
状态 为 其 状态 型 参 集 S 上 的 一 个 赋值 ， 其 状态 集 为 Qs. 

对 于 Delay 构件 ， yeh in 的 布尔 值 ， 输出 为 变量 out 的 布尔 值 。 状态 为 变量 


2. 1.3 初始 化 


为 描述 构件 的 动态 性 ， 我 们 必须 详细 说 明 初 始 状态 ， 以 及 构件 对 每 个 状态 中 给 定 输入 的 
反应 方式 。 大 量 的 编程 风格 都 可 以 用 来 描述 该 问题 ， 诸 如 命令 式 风格 (如 SYSTEM C 和 ES- 
TEREL)、 声 明 方 程式 风格 (如 LUSTRE) 和 层次 状态 机 (如 STATEFLOW )。 为 利用 工具 进行 
分 析 ， 需 定义 严格 的 形式 化 语法 和 语义 。 语 法 用 来 描述 构件 初始 和 更 新 状态 的 合法 代码 段 是 
什么 。 语 义 则 是 构件 初始 状态 及 其 反应 的 相应 数学 集合 。 这 种 表达 对 于 自然 语言 甚至 “和 孩 
童 ”语言 来 说 都 是 一 个 挑战 ， 因 为 定义 形式 化 语义 可 能 需要 大 量 的 数学 符号 。 我 们 将 使 用 常 
见 命令 式 结 构 和 状态 机 组 合 来 刻画 我 们 需要 的 特征 ， 而 不 采用 严格 的 形式 化 数学 语义 。 

一 个 构件 的 初始 化 可 表示 为 Init. EHS 中 的 所 有 状态 变量 指定 初始 值 。 一 旦 声明 了 
状态 变量 ， 就 可 以 用 一 个 赋值 对 相应 的 初 值 进 行 描 述 。 例 如 ， 在 Delay 构件 中 ， 状 态 变 
量 工 将 利用 赋值 zx :=0 对 其 赋 初 值 。 有 时 在 不 知道 全 部 的 初始 值 时 ， 我 们 想 要 指定 多 个 可 
能 的 初始 值 来 对 该 情况 建 模 。 为 了 实现 这 个 目的 ， 我 们 将 使 用 一 个 名 为 choose 的 新 结 
构 ， 它 将 从 它 的 参数 集合 中 任意 选择 一 个 值 返 回 。 对 Delay 构件 ， 通 过 下 式 为 变量 z 考 
虑 另 一 种 声明 : 
bool x *=choose({0, 1} 

在 此 修改 版 本 中 ，choose 可 能 返回 0 或 1; Alt, Bits 的 初始 值 可 能 为 0 或 1。 使 

用 choose 结构 的 另 一 个 初始 化 例子 是 声明 : 
real xr *~choose{z|0<z<2} 
这 表明 变量 z 为 实数 ， 其 初始 值 可 为 0 到 2 的 任意 实数 。 

如 果 对 于 构件 的 每 个 状态 变量 z， 值 9(z) 与 变量 z 的 初始 值 相等 ， 则 该 构件 的 状态 q 
称 为 初 值 状 态 。 所 有 初始 状态 的 集合 用 [Init 了 表示 。 因 此 ， 初 始 化 状态 Init 是 构件 如 何 初 
始 化 状态 变量 的 语法 描述 ， 相 应 集合 [LInit 了 为 其 数学 语义 。 

对 于 构件 Delay， 集 合 [LInit 了 包含 了 把 值 0 赋予 z 的 单个 初始 状态 。 
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在 图 2-1 中 ， 我 们 将 表示 构件 的 框图 用 一 条 水 平 线 分 割 ， 上 半 部 列 出 了 状态 变量 及 其 
类 型 ， 后 面 是 它们 的 初始 化 过 程 。 


2.1.4 更 新 
构件 对 每 次 循环 输入 的 响应 的 计算 是 由 反应 描述 给 出 的 ， 表 示 为 React。 若 构件 处 于 


状态 5*， 当 给 定 输入 时 ， 它 可 产生 输出 o 并 更 新 其 状态 至 上 ， 则 我 们 表示 为 pee 这 样 
的 响应 称 为 反应 。 

一 种 描述 反应 的 自然 方法 是 利用 代码 给 输出 变量 赋值 并 更 新 状态 变量 的 值 。 该 代码 在 
ee RSS Ee 构件 的 所 有 可 能 反应 的 集合 称 为 反应 描 
述 的 语义 ， 可 表示 为 LReact]。 

对 Delay 构件 ， 反 应 描述 React 可 以 用 两 个 赋值 语句 序列 表示 : 

a ei 
也 就 是 说 ， 在 构件 状态 s 中 ， 给 定 一 个 输入 i， 构件 将 状态 ;复制 到 输出 ， 并 将 状态 更 新 为 
当前 输入 。 在 本 例 中 ， 构 件 有 4 个 可 能 的 反应 : 


0/0 1/0 0/1 1/1 
i OSS ee ee al 


在 图 2-1 中 ， TRE TEE TE PENI 

反应 描述 通常 是 语句 序列 ， 其 中 每 条 语句 可 以 是 赋值 语句 或 条 件 语 句 。 赋 值 语 句 的 形 
式 为 xz =e, Hp e 为 与 变量 zx 的 类 型 相同 的 表达 式 。 我 们 允许 赋值 号 的 右边 用 choose 4 
构 指 定 可 能 值 的 集合 ， 因 而 赋值 语句 允许 对 给 定 状 态 的 相同 输入 做 出 多 种 响应 。 条 件 语句 
的 表示 形式 为 : 

If b then stmt, else stmt, 

其 中 , b 是 布尔 表达 式 ，stmti 和 stmt, 是 当 给 定 赋值 语句 序列 和 条 件 语句 序列 时 的 代码 
段 。 为 执行 条 件 语 句 ， 首 先 将 对 表达 式 2 进行 计算 。 知 2 为 1， 则 将 执行 代码 stmt; 否 
则 ， 执 行 代码 stmto 。 当 需要 时 ， 可 以 使 用 大 括号 “{(” 和 “}” 将 语句 组 合 在 一 起 。 也 可 
能 省 略 条 件 语句 的 else 分 支 。 

给 定 状态 s 和 输入 ; ， 为 寻找 构件 的 可 能 反应 ， 我 们 执行 反应 描述 代码 。 如 果 执 行 代 


码 没有 错误 ， 并 且 如 果 对 所 有 输出 变量 都 赋 了 输出 值 o， 当 所 有 状态 变量 的 值 更 新 为 上 时 ， 


那么 就 将 反应 ;xt 添加 到 集合 [React] 中 。 由 于 不 同 的 原因 ， 这 样 成 功 的 执行 不 可 能 是 


可 能 的 。 通 常 我 们 考虑 以 下 两 种 情形 。 

第 一 ， 当 代码 试图 执行 赋值 语句 x :=e 时 ， 我们 期 望 x 是 输出 变量 或 状态 变量 。 试 图 
给 输入 或 未 声明 的 变量 赋值 时 都 将 产生 错误 。 为 了 能 够 计算 表达 式 e， 应 该 只 参考 状态 变 
量 、 输 入 变量 ， 以 及 通过 预先 执行 赋值 语句 分 配 输 出 值 的 那些 输出 变量 。 在 构件 Delay 
的 描述 中 ， 如 果 将 反应 描述 替换 为 : 

x *=out; out :一 in 

则 第 一 条 语句 将 由 于 输出 变量 out 的 值 是 未 知 的 而 不 能 被 执行 ， 并 且 在 该 描述 下 ， 相 应 的 
反应 集合 将 为 空 集 。 

第 二 ， 如 果 代 码 没有 给 所 有 输出 变量 赋值 ， 那 么 这 个 执行 不 能 定义 一 个 有 效 的 反应 。 
例如 ， 在 构件 Delay 中 ， 若 用 以 下 条 件 赋 值 代替 反应 描述 


if(z 天 in)then out :一 工 


那么 仅 当 输入 不 同 于 当前 状态 时 ， 语 句 才能 更 新 输出 。 修 改 的 构件 只 有 两 个 反应 : 0 一 >1 
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和 1 一 >0。 这 可 以 解释 为 构件 不 允许 在 状态 0 中 输入 0 和 在 状态 1 中 输入 1. 
反应 描述 也 可 以 使 用 local( 局 部 ) 变 量 ， 也 就 是 说 ， 可 以 使 用 辅助 变量 来 保存 中 间 计 
算 的 结果 。 假 设 给 定 输 入 变量 in 和 in 的 整 型 数值 ， 我 们 想 计算 该 这 两 个 输入 值 的 平方 
差 ， 并 通过 输出 变量 out 输出 结果 。 如 下 代码 只 使 用 一 个 乘法 就 可 以 实现 该 目的 : 
TooaL SET y3 
x :一 ini tim; 
y *=in; — ing; 
out :一 开关 了 
在 该 描述 中 ， 变 量 zx 和 y 的 值 不 能 被 其 他 构件 访问 ， 也 不 会 存储 在 同一 构件 的 不 同 循 
环 中 。 
我 们 通过 提出 反应 式 构件 的 形式 化 定义 ， 对 上 述 讨论 进行 总 结 : 


同步 反应 式 构 件 
同步 反应 式 构件 C 由 下 面 几 方 面 来 描述 : 
e 输入 型 参 变 量 的 有 限 集合 TI， 它 定义 输入 集合 Qi 
e 输出 型 参 变量 的 有 限 集合 O， 它 定义 输出 集合 Qo. 


e 状态 型 参 变量 的 有 限 集合 S， 它 定义 状态 集 Qs. 
o 初始 化 mit， 它 定义 初始 状态 的 集合 LImitJSQs.。 


© 反应 描述 React， 它 定义 形式 为 st 的 反应 的 集合 [React]， 其 中 *，: 为 状 
态 ，; MMA, o 为 输出 。 


2.1.5 hat 


构件 的 操作 语义 可 以 通过 定义 其 执行 来 获得 。 为 执行 构件 ， 我 们 首先 初始 化 构件 的 所 
有 变量 来 获得 一 个 初始 状态 。 然 后 构件 将 在 有 限 次 循环 中 执行 下 去 。 在 每 次 循环 中 ， 选 择 
输入 变量 的 值 ， 然 后 执行 构件 的 反应 描述 中 的 代码 来 确定 其 输出 并 更 新 其 状态 。 

形式 上 ， 一 个 长 度 为 EGR 之 0) 的 同步 反应 式 构件 C 包含 了 如 下 形式 的 有 限 序列 : 


i/o iz/oz is/os ix / ok 
Sos a FSL Sp. —PiSg 2°" *°2 54S 


其 中 

1) 对 于 0<j<k， 每 个 5; 为 C 的 状态 ， 且 对 于 ISIK, GA i 为 C 的 输入 ， 每 个 o; 
为 C 的 输出 ; 

2) so 为 C 的 初始 状态 ; 且 


DIETE e a Md! 
例如 ， 一 个 长 度 为 6 的 构件 Delay 的 执行 可 能 为 : 


Yom /lmos W/E 
a | ee a Ne | 


练习 2.1: 考虑 构件 Delay 的 一 个 修改 版 本 ， 称 为 0ddDelay。 它 有 一 个 布尔 输入 变量 in、 一 个 布尔 输 
出 变量 out 和 两 个 布尔 状态 变量 z 和 y。 两 个 状态 变量 初始 化 为 0， 反应 描述 为 : 


if y then out ‘—z else out :一 0; 


1/1 1 


x *=in; 


a7 = 49 
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请 用 语言 描述 构件 OddDelay 的 行为 。 如 果 6 次 循环 的 输入 序列 为 0,1,1,0,1,1， 请 列 出 该 构 
件 的 可 能 执行 。 


2.1.6 扩展 状态 机 


在 基于 模型 的 设计 中 ， 状 态 机 通常 用 来 描述 系统 的 行为 。 图 2-2 描述 了 一 个 Switch 
构件 ， 它 对 电灯 的 开关 过 程 进行 建 模 。 该 
构件 只 有 一 个 布尔 输入 变量 press, 在 每 


(press = 0)? (press =0 A x< 10) x:=x41 


次 循环 执行 过 程 中 ， 输 入 变量 的 值 为 1 表 intxr:=0 (press = 1)? 

示 开 关 按 下 。 最 初 ， 灯 是 熄灭 的 ， 当 按 下 

开关 时 ， 灯 被 点 亮 。 若 再 次 按 下 开关 ， 或 (press=1 V x > 10) x:=0 

者 执行 10 次 循环 后 ， 开 关 都 没有 按 下 开 图 2-2 作为 扩展 状态 机 的 构件 Switch 的 描述 


在 状态 机 的 符号 表示 中 ， 有 一 个 隐 式 状态 变量 ， 称 为 状态 机 的 模式 (mode)， 它 是 枚 
举 类 型 。 对 Switch 构件 而 言 ， 模 式 的 枚 举 类 型 范围 为 集合 {off，on}。 不 同 的 状态 机 模 
式 用 圆圈 表示 。 这 种 图 形 化 的 表示 方法 可 以 突出 构件 的 不 同 操作 模式 。 变 量 mode 的 初始 
值 为 off， 并 用 无 源 引 入 箭头 来 表示 模式 off。 

在 扩展 状态 机 中 ， 使 用 状态 模式 的 描述 是 用 额外 的 状态 变量 来 扩展 的 。 在 图 2-2 的 例 
FP, switch 构件 使 用 额外 的 类 型 为 int 的 状态 变量 zx。 指 向 初始 模式 的 初始 化 箭头 用 
这 些 额 外 的 状态 变量 的 声明 及 它们 的 初始 值 来 标志 。 在 本 例子 中 ， 只 有 一 个 int 类 型 的 
额外 的 状态 变量 z， 并 将 它 初始 化 为 0。 

在 扩展 状态 机 中 ， 用 模式 切换 说 明 反 应 。 模 式 切换 可 以 描述 为 两 种 模式 之 间 的 边 ， 且 
有 一 个 关联 的 守卫 条 件 和 一 个 用 来 更 新 变量 的 代码 段 。 若 守卫 条 件 为 表达 式 Guard， 更 新 
变量 的 代码 为 Update， 那 么 边 可 以 用 Guard>Update 注释 。 如 果 守 卫 条 件 总 是 成 立 ( 即 它 
等 于 常数 1) ， 它 可 以 被 省 略 ， 并 且 边 只 需 用 代码 Update 注释 ;如 果 更 新 变量 的 代码 没有 
修改 任何 变量 ， 那 么 它 也 可 省 略 ， 边 只 用 守卫 条 件 Guard? 来 注释 。 

在 该 例子 中 ， 有 4 个 模式 切换 。 当 条 件 press=1 满足 时 ， 构 件 由 off 模式 切换 至 on 
模式 ， 该 切换 不 会 改变 变量 z 的 值 ; 当 条 件 press=0 满足 时 ， 构件 由 off 模式 切换 到 
off 模式 ， 也 不 会 改变 变量 r 的 值 ; 当 合 取 条 件 (press 二 0 人 zx 二 10) 满 足 时 ， 构 件 由 on 模 
式 切 换 到 on 模式 ， 变 量 z 的 值 增加 1; 当 析 取 条 件 (press 二 1V zx 宇 10) 满 足 时 ， 构 件 由 on 
模式 切换 到 off 模式 ， 变 量 z 的 值 重 新 设置 为 0。 

当 模式 为 off 时 ， 如 果 输 入 为 0， 则 满足 从 of 模式 切换 到 off 模式 的 守卫 条 件 ， 
执行 该 模式 切换 。 由 于 没有 明确 的 变量 更 新 代码 ， 状 态 变量 x 的 值 保持 不 变 ， 所 以 新 模式 
与 旧 模 式 off 相同 。 如 果 输 入 是 1， 则 满足 从 off 模式 切换 到 on 模式 的 守卫 条 件 ， 执 行 
该 模式 切换 。 因 此 ， 更 新 的 模式 值 是 on，z 的 值 不 变 。 

当 模 式 为 on 时 ， 如 果 输 入 是 0 且 z 的 值 仍 然 小 于 超时 章 值 10， 那 么 执行 从 on 到 on 
的 切换 模式 ， 虽然 z 增加 1 但 模式 没有 改变 。 因 此 ， 该 构件 最 多 连续 10 轮 执行 中 保持 模 
式 on 不 变 。 当 输入 变量 press 的 值 为 1 或 xz 的 值 达到 10 时 ， 满 足 从 on 模式 切换 到 off 
模式 的 守卫 条 件 。 执 行 该 切换 ， 更 新 模式 为 off, HERE xz 设 为 0。 

在 这 个 例子 中 ， 每 个 状态 可 表示 成 一 个 二 元 组 ， 其 中 第 一 个 元 素 属 于 枚 举 类 型 {off， 
on} ， 第 二 个 元 素 是 整数 。 初 始 状 态 集合 [Init] 包 含 唯一 状态 Coff，0)。 

我 们 可 以 结合 反应 集合 上 React] 来 形式 化 地 刻画 模式 切换 的 含义 。 给 定 将 值 赋予 模 
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式 、 变 量 x 以 及 将 输入 值 赋予 变量 press 的 状态 ,假设 满足 相应 的 守卫 条 件 ， 则 我 们 可 通 
过 执行 当前 模式 的 模式 切换 更 新 代码 来 获得 一 个 反应 。 对 于 每 个 整数 n， 有 如 下 反应 : 


1/ 0/ 1/ 
Coffs NR) (Ons 2); (off, n)— Coffs n); Con, mM one oe 
对 于 每 个 整数 n 二 10， 有 反应 (on， SL n 十 1); 对 每 个 整数 n 宇 10， 有 有 反应 (on， 


iN Gee, 0), 
在 这 个 例子 中 ， 构 件 Switch 没有 输出 变量 。 输 出 变量 存在 时 ， 与 每 个 模式 切换 相关 联 

的 更 新 代码 将 值 赋予 所 有 的 输出 变量 。 同 样 ， 在 该 例子 中 ， 相 同 模式 的 两 个 模式 切换 的 守卫 

条 件 是 不 相交 的 ， 因 此 ， 无 需 选 择 执行 哪 一 种 切换 方式 。 一 般 来 说 ， 这 种 假设 是 不 成 立 的 。 

事实 上 ， 状 态 机 表示 是 指定 多 种 选择 的 一 种 方便 方式 ， 我 们 将 在 随后 的 例子 中 进行 说 明 。 

练习 2.2: 将 练习 2. 1 中 的 构件 0ddDelay 作为 一 个 具有 两 种 模式 的 扩展 状态 机 进行 描述 。 状 态 机 的 模 
式 应 捕获 状态 变量 y 的 值 ， 而 状态 变量 z 应 利用 模式 切换 中 的 赋值 进行 更 新 。 

练习 2.3: 我 们 想 要 设计 一 个 反应 式 构件 ， 它 有 3 个 布尔 型 输入 变量 zx、y 和 reset， 以 及 一 个 布尔 型 输出 
变量 >。 期 望 的 行为 如 下 所 述 。 构 件 持续 等 待 直到 某 次 循环 的 输入 变量 zx 为 high， 且 输入 变量 
y 为 high, 一 旦 遇 到 这 两 个 条 件 ， 它 将 输出 xz 设置 为 high。 当 在 随后 的 循环 中 ， 输 入 变量 re- 
set 为 high 时 ， 它 将 重复 该 行为 。 默 认输 出 为 low。 例 如 ， 如 果 工 在 第 2、3、7、12 次 循环 
中 为 high，y 在 第 5、6、10 次 循环 中 为 high， 且 reset 在 第 9 次 循环 中 为 high， 则 z 应 该 在 第 
5 和 12 次 循环 中 为 high。 请 设计 一 个 同步 反应 式 构件 来 捕获 这 种 行为 。 你 可 能 想 用 扩展 状态 
机 表示 。 


2.2 构件 属性 
2.2.1 有 限 状 态 构 件 


在 许多 嵌入 式 应 用 程序 中 ， 仅 需要 考虑 有 限 取 值 的 类 型 .类 A m 
型 bool( 布 尔 ) 和 枚 举 类 型 是 有 限 值 ， 而 nat, int, real 等 数值 a 1/0 eet 
类 型 是 无 限 值 。 当 构件 的 所 有 变量 都 为 有 限 类 型 时 ， 输 入 集合 Qi、 a 
输出 集合 Qo 以 及 状态 集合 Qs 也 都 是 有 限 的 。 图 2-3 是 构件 Delay 图 2.3 与 构件 Delay 
的 情形 。 这 种 构件 称 为 有 限 状 态 构件 ， 适 合 采用 强大 的 自动 分 析 。 对 应 的 米利 机 


有 限 状 态 构件 





如 果 同 步 反 应 式 构件 C 的 每 个 输入 、 输 出 及 状态 变量 的 类 型 都 是 有 限 的 ， 则 我 们 
就 称 该 同步 反应 式 构件 C 是 有 限 状 态 的 。 





值得 注意 的 是 ， 因 为 状态 变量 z 定义 为 整 型 值 ， 所 以 图 2-2 中 的 Switch 构件 不 是 有 
限 状 态 的 。 仔 细 考 察 该 构件 可 发 现 : 在 构件 的 每 一 次 可 能 的 执行 中 ，z 的 值 不 会 大 于 10。 
因此 ， 变 量 x 的 相关 取 值 范围 只 可 能 为 0 到 10， 我 们 可 以 通过 改变 变量 x 的 类 型 为 范围 类 
型 intL0，10j 来 修改 Switch 的 描述 ， 由 此 产生 的 构件 是 一 个 有 限 状 态 构 件 。 在 一 般 情 
AF, 我们 允许 将 数值 类 型 为 int, nat 和 real 等 限制 为 相应 的 类 型 范围 int[low， 
high], natLlow, high]#l real[low，high]， 其 中 low 和 high 是 对 应 类 型 中 的 数值 常 
量 。 产 生 的 int Al nat 的 限制 版 本 是 有 限 类 型 。 

对 于 一 个 有 限 状 态 构件 ， 其 行为 可 以 用 标号 有 限 图 进行 说 明 。 其 中 ， 该 图 的 节点 为 构 


件 的 状态 。 如 果 s 是 构件 的 初始 状态 ， 则 有 一 个 无 源 边 指向 so WR se 是 构件 的 一 个 


反应 ,那么 有 一 个 从 节点 s 到 节点 t 的 边 ， 并 用 输入 i 和 输出 o 标记 。 这 样 的 图 称 为 米利 
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机 (Mealy mechine) 。 构 件 的 执行 为 从 该 图 的 初始 状态 开始 遍历 的 简单 路 径 。 
构件 Delay 的 米利 机 表示 如 图 2-3 所 示 。 
练习 2. 4: 考虑 练习 2. 1 中 的 构件 oadpelay。 该 构件 是 有 限 状 态 的 吗 ? 画 出 其 对 应 的 米利 机 。 


2.2.2 复合 构件 


考察 图 2-4 所 示 的 构件 Comparator。 该 构件 有 两 个 输入 变量 in 和 jin， 它们 都 为 
nat 类 型 。 它 还 有 一 个 布尔 型 输出 变量 out, FE 


nat in, 
Sah whan i wm “NY maa omens Je 
in 大 于 或 等 于 inz*， 则 设置 输出 变量 out 为 1， nat in, ~ 


否则 设置 为 0。 图 2-4 复合 构件 Comparator 

该 构件 不 需 维护 任何 内 部 状态 ， 因 此 它 没有 状态 变量 。 当 构件 没有 状态 变量 时 ， 也 就 
没有 初始 化 过 程 ， 反 应 描述 根据 输入 变量 值 指 定 输出 变量 。 

当 状 态 变 量 的 集合 S 为 空 时 ， 形 式 上 对 S 有 一 个 唯一 的 赋值 ， 设 这 个 唯一 的 状态 为 
sg。 这 也 是 初始 状态 。 对 于 每 对 自然 数 mAn, WR mon, WH Comparator 有 反应 


sai sg 如果 m<n， 将 有 反应 sg 一 sz 。 该 构件 的 一 个 可 能 的 执行 为 : 


(2, 3)/0 (5, 1/1 (40, 40)/1 
SF eS a S 
Iž Comparator 一 样 没 有 状态 变量 的 构件 称 为 复合 构件 。 


复合 构件 
同步 反应 式 构件 C 称 为 复合 的 ， 如 果 其 状态 变量 的 集合 为 空 。 


YER. FE Comparator 对 应 于 布尔 值 表 达 式 in >in. AE C 的 变量 out 可 作为 替 
代 输 入 变量 in, 和 in; 的 其 中 一 个 输入 变量 ， 并 且 在 不 改变 其 行为 的 前 提 下 ， 可 利用 表达 
式 in Sin, 替代 构件 C 的 反应 描述 中 out 的 当前 值 。 相 反 ， 用 来 描述 构件 反应 的 表达 式 的 
值 也 可 显 式 地 建 模 为 复合 构件 。 例 如 ， 为 了 得 到 两 个 布尔 变量 zx 和 y 的 合 取 ， 可 以 简单 地 
使 用 表达 式 xz 人 y 或 构造 一 个 复合 构件 ， 该 复合 构件 有 两 个 输入 变量 x Aly 以 及 一 个 输出 
变量 ， 当 两 个 输入 变量 的 值 都 为 1 时 ， 输 出 变量 产生 输出 的 值 为 1。 是 否 将 所 需 表达 式 建 
模 为 复合 构件 是 设计 的 选择 问题 ， 它 受 描述 反应 所 采用 的 建 模 语 言 的 原 语 影响 。 


2.2.3 事件 触发 构件 


在 反应 式 构件 的 同步 执行 模型 中 ， 循 环 (round) 的 概念 是 全 局 的 ， 每 个 构件 都 参与 每 
次 循环 。 然 而 ， 在 某 些 情况 下 这 可 能 是 不 现实 的 ， 这 就 要 求 我 们 允许 某 构件 能 够 定义 自己 
的 循环 。 例 如 ， 系 统 可 能 有 多 个 硬件 构件 ， 每 个 运行 在 不 同 的 时 钟 频率 下 ， 在 这 种 情况 
下 ， 每 个 构件 只 参与 自身 时 钟 信 号 为 高 电位 的 循环 。 为 对 这 种 行为 建 模 ， 我 们 使 用 类 型 为 
event 的 输入 变量 。 基 本 类 型 event 可 定义 为 枚 举 类 型 {TT， 1}, HH, T RFR 
生 ， 上 表示 事件 未 发 生 。 更 一 般 地 ， 我 们 允许 事件 类 型 被 另 一 个 类 型 参数 化 ， 即 可 利用 参 
数 类 型 中 的 值 来 表示 事件 的 发 生 或 未 发 生 。 例 如 ， 类 型 event (bool) A 3 个 值 0、1 和 
| 。 对 于 一 个 事件 变量 zx， 布尔 表达 式 z? 表示 事件 之 发生， 可 用 表达 式 z 关 | 表示。 注 
意 ， 虽 然 输 入 、 输 出 和 局 部 变量 可 以 是 类 型 event, 但 状态 变量 不 能 是 这 种 类 型 ， 因 考虑 
一 个 未 发 生 的 状态 是 毫 无 意义 的 。 

例如 ， 考 虑 如 图 2-5 所 示 的 构件 Triggeredcopy， 该 构件 将 输入 复制 到 输出 。 输 入 





Sg 





同步 模型 15 


变量 in 的 类 型 是 event (bool): 在 每 一 次 循环 中 ， 可 能 没有 输入 ， 并 且 如 果 有 输入 ， 输 
入 是 一 个 布尔 值 。 当 有 输入 时 ， 它 可 表示 为 in?， 并 将 该 输入 复制 到 输出 ; 当 没 有 输入 时 ， 
也 没有 输出 。 输 出 变量 out 的 类 型 也 为 event (boo1)。 将 赋值 等 式 out in 写作 out! in 
以 强调 事件 out 已 输出 。 


if in? then {outlin; x :=x+ 1} 





event (bool) in event (bool) out 


图 2-5 事件 驱动 构件 Triggeredcopy 


默认 情况 下 ， 输 出 事件 变量 为 空 ， 也 就 是 说 ， 在 某 次 循环 中 如 果 事 件 输出 变量 out 没 
有 被 显 式 地 赋值 ， 那 么 它 的 值 假定 为 上 。 在 构件 TriggeredCopy 的 反应 描述 中 ， 如 果 输 
和 人 事件 为 空 ， 那 么 程序 将 不 给 输出 变量 赋 任 何 值 ， 因 此 构件 返回 的 输入 值 为 空 、 输 出 值 也 
Fee 

构件 TriggeredCopy 确实 维护 一 个 状态 变量 x, r 的 初 值 为 0， 当 输入 为 非 空 时 ，z 
就 递增 ， 当 输入 为 空 时 ，z 就 保持 不 变 。 因 此 ， 状 态 z 的 值 说 明了 在 过 去 的 循环 中 ， 有 和 输 
和 的 循环 数 。 对 于 每 个 自然 数 z， 该 构件 有 3 个 反应 : 


eh 0/0 1/1 
n n; n—>nti; n—>n+1 


构件 TriggeredCopy 的 一 个 示例 执行 为 : 


al gl 0/0 1/1 AIS gal WAL 1/1 
(人 2 — +3 


我 们 称 输入 变量 in 是 构件 TriggeredCopy 的 一 个 触发 器 ， 该 构件 是 事件 触发 的 。 
如 果 输 入 在 一 个 循环 中 为 空 ， 则 其 输出 为 空 ， 状 态 保 持 不 变 ， 那么 称 该 构件 是 被 动 的 。 这 
样 的 反应 称 为 口吃 (stuttering) 反 应 。 在 该 实现 中 ， 构 件 不 需要 通过 “执行 ”来 产生 这 样 的 
反应 。 


举 另 一 个 例子 ， 考 察 图 2.6 所 示 的 事件 触 。 ， Poolia[Eeixso 
发 构件 clockedcopy。 它 有 一 个 Boolean 输 


入 变量 in 和 一 个 充当 触发 器 的 输入 事件 变量 


clock。 每 当时 钟 事件 发 生 时 ， 构 件 就 将 其 状态 图 2-6 事件 触发 构件 ClockedCopy 
变量 z 更 新 为 输入 变量 in 的 当前 值 。 在 循环 中 ， 当 事件 clock 为 空 时 ， 任 何 对 输入 in 的 改 
变 都 被 忽略 。 输 出 out 是 布尔 变量 ， 它 的 值 等 于 已 更 新 的 状态 。 这 样 的 输出 变量 称 为 锁 存 
输出 。 在 这 种 情况 下 ， 构 件 不 需要 显 式 地 计算 out 的 值 ， 而 是 通过 变量 out 与 状态 变量 z 
在 输出 声明 中 进行 关联 后 来 表示 。 

输出 变量 out 总 是 有 一 个 值 ， 即 使 在 某 个 循环 中 触发 器 clock 为 空 ， 并 且 该 值 等 于 事件 
变量 clock 为 空 时 的 最 近 一 次 循环 中 输入 变量 in 的 值 。 该 构件 的 一 个 可 能 的 执行 如 下 所 示 ， 
其 中 输入 可 用 一 个 二 元 偶 对 来 标识 ， 第 一 个 元 素 为 in 的 值 ， 第 二 个 元 素 为 clock 的 值 : 


ar 1/0 * Oe (0， 上 )71 co, 1)/1 (0, T)/0 
0 


形式 上 ， 对 于 一 个 同步 反应 式 构件 C， 其 输出 变量 y 称 为 锁 存 的 ， 如 果 存 在 一 个 状态 


变量 z， 使 得 在 构件 的 每 个 反应 ; >t 中 ， 输 出 变量 y 的 值 等 于 状态 变量 z 更 新 后 的 什 
z: 0() 二 t(x)。 在 一 个 构件 的 实现 中 ， 锁 存 输 出 不 需 显 式 地 存储 或 计算 ， 相 应 的 状态 变 
量 需 要 访问 其 他 的 构件 。 

现在 我 们 可 以 定义 事件 触发 构件 的 通用 概念 。 它 的 每 个 输出 变量 都 应 该 为 锁 存 的 或 者 















bool out =x 





event clock 
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为 一 个 事件 。 当 触发 输入 事件 没有 时 ， 状 态 应 保持 不 变 ( 因 此 ， 锁 存 输出 也 保持 不 变 )， 并 
且 事件 输出 应 为 空 。 


事件 触发 构件 | 
对 于 同步 反应 式 构件 C=, O, S, Init, React), 输入 变量 的 集合 JCI 称 为 触 
KB (trigger), WR: 
1) J 中 的 每 个 输入 变量 都 为 类 型 event; 
2) 每 一 个 输出 变量 或 为 锁 存 的 或 为 类 型 event; 
3) WR i 是 一 个 输入 ， 且 JJ ‘Ris Ske opens: 对 所 有 的 输入 变量 


zEJ, (x)= 1), MAMFMARA s, WR Ps 是 一 个 反应 ， 则 对 于 事件 类 型 每 
一 个 的 输出 变量 > 都 有 = 上 和 o(Cy) 王 上 |。 
如 果 存 在 一 个 输入 变量 的 子 集 ICIT. 使 得 EC 的 一 个 触发 器 ， 则 称 构 件 C 是 事 


件 触发 的 。 


练习 2.5: 设计 一 个 事件 触发 的 复合 构件 ClockedMax， 它 有 两 个 nat 类 型 的 输入 变量 c My 以 及 一 个 
输入 事件 变量 clock。 构 件 的 输出 变量 = 应 该 为 event(nat) 类 型 ， 使 得 在 clock 为 非 空 时 z 的 
值 为 每 次 循环 中 输入 z 和 >y 的 最 大 值 。 

练习 2.6: 设计 一 个 事件 触发 构件 secondToMinute， 其 具有 输入 事件 变量 second 和 输出 事件 变量 
minute， 使 得 在 second 出 现 60 次 时 minute 出 现 一 次 。 

练习 2.7: 设计 一 个 构件 clockedDelay， 其 具有 一 个 布尔 输入 变量 +、 一 个 输入 事件 变量 clock 和 一 个 
类 型 为 event (bool) 的 输出 变量 y， 它们 有 下 列 行为 : 如 果 clock 在 循环 中 为 非 空 ， 即 当 
m <n <n <== iY 则 在 循环 n 中 ， 输出 应 该 为 默认 值 0; 对 于 任意 的 j， 在 循环 na, 输 
出 应 该 等 于 循环 nj 中 z 的 值 ， 在 其 余 循 环 中 ( 即 输入 事件 clock 为 空 时 的 循环 ) ， 输 出 应 为 空 。 


2.2.4 非 确定 性 构件 


到 目前 为 止 在 我 们 的 示例 中 ， 构 件 都 是 确定 性 的 : 对 于 一 个 给 定 的 输入 序列 ， 构 件 都 
通过 一 个 唯一 的 执行 ， 产 生 唯 一 的 输出 序列 。 若 一 个 构件 有 单个 初始 状态 ， 且 在 每 个 状态 
中 ， 对 于 一 个 给 定 的 输入 ， 都 仅 有 一 个 可 能 的 反应 ， 则 称 该 构件 获得 确定 性 行为 。 


确定 性 构件 
一 个 同步 反应 式 构件 C 称 为 确定 性 的 ， 如 果 : 
D 构件 C 有 单个 初始 状态 ， 且 














D 对 每 个 状态 * 和 每 个 输入 i， 都 仅 有 一 个 输出 。 和 一 个 状态 5， 使 得 se 是 C 
的 一 个 反应 。 





构件 Delay, Switch, Comparator, TriggeredCopy 和 ClockedCopy 都 是 确 
定性 构件 。 确 定性 是 构件 注定 要 实现 的 期 望 性 质 。 

相 比 之 下 ， 非 确定 性 构件 针对 同 renee 
一 输入 序列 可 以 产生 不 同 的 输出 序列 。 
这 样 的 构件 对 未 设计 完全 的 系统 部 件 进 
行 建 模 和 捕捉 环境 约束 是 非常 有 用 的 。 
例如 ， 考 察 图 2-7 所 示 的 构件 Arbiter。 
它 有 两 个 输入 变量 : req, 和 req ， 和 两 个 2-7 非 确 定性 构件 Arbiter 







event grant, 









req,? 一 grant,! req,? 一 grant,! 








event req, event grant, 
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输出 变量 :grant 和 grant, 4 个 变量 都 为 事件 类 型 。 该 构件 用 来 解决 输入 请 求 的 竞争 问题 。 构 
件 的 动态 性 可 利用 扩展 状态 机 来 描述 。 该 状态 机 仅 有 一 个 模式 ， 因 此 不 需要 显 式 地 维护 状态 来 
记录 该 模式 。 在 每 次 循环 中 ， 选 择 守卫 条 件 满足 的 模式 切换 ， 并 执行 相应 的 更 新 代码 。 

当 仅 有 请 求 req 时 ， 模 式 切 换 的 守卫 条 件 “reqi? > grant!” WE., fy oh SE 
granti 。 值 得 注意 的 是 ， 在 该 情况 下 ， 事 件 grant, 默认 为 空 。 当 仅 有 请 求 req 为 非 空 时 ， 
事件 grant, 也 会 相应 地 输出 。 如 果 两 个 请 求 都 未 发 生 ， 模 式 切换 的 守卫 条 件 “ req? A 
一 reqs?” 满 足 。 对 于 该 模式 切换 ， 没有 显 式 的 代码 更 新 ， 因 此 两 个 输出 事件 都 默认 为 未 
发 生 。 然 而 ， 如 果 两 个 输入 请 求 都 发 生 ， 则 两 个 模式 切换 的 守卫 条 件 reg? 和 reg? 都 满 
足 。 在 此 情况 下 ， 任 意 执行 二 者 之 六 。 有 两 种 构件 的 可 能 反应 : grant, 输出 ，grant 为 
2s; 或 者 grant, WZ, grant 输出 。 构 件 Arbiter 应 该 实现 捕获 这 种 不 确定 性 行为 的 功 
能 ， 也 就 是 说 ， 仅 当 发 出 请 求 时 grant 时 才 可 能 输出 ， 在 任意 一 次 循环 中 ， 至 多 有 一 个 
grant 输出 ， 并 且 需 要 如 何 解决 竞争 的 约束 ， 这 就 给 构件 留 出 不 同 实现 的 可 能 性 。 注 意 ， 
构件 Arbiter 是 一 个 复合 的 、 事 件 驱动 的 构件 。 

另 一 个 非 确定 性 构件 的 例子 如 图 -2-8 所 示 ， 考 察 虑 复合 的 、 事 件 驱 动 的 构件 Lossy- 
Copy， 它 有 一 个 输入 事件 in 和 一 个 输出 事件 out。 构 件 在 每 一 次 循环 中 的 预期 行为 是 ; 或 
者 把 输入 复制 给 输出 ， 或 者 输出 为 空 。 这 也 可 以 通过 一 个 具有 两 个 模式 切换 的 单 模式 扩展 
状态 机 来 描述 : 一 个 模式 满足 守卫 条 件 in?， 运 行 更 新 代码 out! in; 另 一 个 模式 拥有 默认 
守卫 条 件 ( 该 条 件 总 是 成 立 )， 并 执行 默认 更 新 代码 (不 对 输出 out 显 式 赋值 )。 当 输入 事件 
发 生 时 ， 两 个 模式 切换 的 守卫 条 件 都 满足 。 一 种 情况 是 : 输入 值 传递 给 输出 事件 ; 另 一 种 


情况 是 : 未 发 生 任 何 动作 ， 并且 输 出 
| in? — out!in 










事件 未 发 生 。 当 输入 事件 未 发 生 时 ,| event (booi) in 


event (bool) out 





仅 满足 模式 切换 中 的 默认 守卫 条 件 ， 
输出 事件 也 未 发 生 。 这 样 的 构件 可 用 
于 对 网 络 链 路 中 潜在 的 信息 损失 建 模 。 Popper RETTE ITE EN 
构件 的 可 能 执行 为 ， 

0/0 1/L oy 上 1/1 al Aula 0/1 


ao 7 th. ND eG CB BS 
练习 2.8: 考虑 图 2-1 所 示 的 Delay 构件 ， 假 设 用 下 式 代 替 构 件 的 反应 描述 : 
out =z; 
x ‘*=choose(in, x) 
请 用 语言 描述 修改 后 的 构件 行为 ， 并 画 出 该 构件 的 米利 机 。 
练习 2.9: 对 于 图 2-7 所 示 的 不 确定 性 构件 Arbiter， 利 用 扩展 状态 机 符号 描述 反应 。 请 利用 直线 更 新 
代码 写 出 一 个 等 价 的 描述 。 你 可 以 利用 choose 结构 给 一 个 局 部 变量 非 确定 性 地 赋值 。 


2.2.5 输入 使 能 构件 


到 目前 为 止 ， 我 们 讨论 的 所 有 构件 都 有 以 下 特性 : 在 每 个 状态 和 对 每 个 输入 ， 构 件 至 
少 有 一 个 反应 。 该 属性 的 构件 称 为 输入 使 能 (input-enabled) 构 件 。 对 于 给 定 的 输入 序列 ， 
输入 使 能 构件 至 少 产生 一 个 相应 的 执行 。 


输入 使 能 构件 
对 于 一 个 同步 反应 式 构 件 C， 若 存在 一 个 输出 o。 和 一 个 状态 :， 使 得 ;ot 为 C 的 


一 个 反应 ， 则 称 输入 i 在 状态 s 是 使 能 的 。 如 果 构 件 C 的 每 个 状态 中 的 每 个 输入 都 是 使 
能 的 ， 则 称 该 构件 C 为 使 能 的 。 
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有 时 存在 一 些 设计 间 题 ， 诸 如 如 何 为 环境 提供 可 能 输入 的 假设 。 例 如， 考察 图 2-9 所 
示 的 构件 counter， 它 使 用 状态 变量 z 维护 一 个 非 负 计数 器 ，z 的 初始 值 是 0。 该 构件 有 
两 个 布尔 输入 变量 inc 和 dec， 当 输入 变量 inc 为 1 时， 计数 器 递增 1; 当 输 入 变量 dec 为 
1， 计 数 器 递减 1。 计数器 不 希望 两 个 输入 
变量 inc 和 dec 同时 为 1， 也 不 希望 当 计 数 
器 值 为 0 时 ， 计 数 器 递减 。 我 们 仅 描 述 输 ?22Line 
入 满足 该 假设 时 计数 器 的 反应 ， 如 图 2-9 
所 示 。 构 件 的 输出 是 z 的 更 新 值 。 当 输入 pool dec 
变量 inc 和 dec 都 为 1 或 状态 工 为 0 H dec 
为 1 时， 反应 描述 不 指派 任何 值 作为 输 图 2-9 带 有 输入 假设 的 构件 Counter 
出 ， 即 无 相应 的 反应 。 
一 般 来 说 ， 输 入 假设 可 能 是 提供 给 构件 的 输入 序列 的 约束 。 当 具有 输入 假设 的 构件 C 
作为 一 个 更 大 系统 的 一 部 分 时 ， 我 们 需要 检查 提供 输入 的 构件 是 否 可 满足 其 输入 假设 。 
注意 ， 根 据 定义 ， 每 个 确定 性 构件 对 于 一 个 给 定 的 状态 和 输入 仅 有 一 个 反应 与 之 对 
应 ， 因 此 ， 它 是 输入 使 能 的 。 
练习 2. 10: 设计 一 个 非 确定 性 构件 CounterEnv, EMA 2-9 所 示 的 计数 器 提供 输入 。 构 件 CounterE- 
nv 没 有 输入 ， 其 输出 是 布尔 变量 inc 和 dec。 它 应 产生 输出 的 所 有 可 能 的 组 合 ， 前 提 是 只 要 
构件 Counter 愿意 接受 这 些 作为 输入 : 它 不 应 该 同时 设置 inc 和 dec 为 1， 它 应 该 保证 dec 
为 1 的 循环 数 不 超 过 inc 为 1 的 循环 数 。 


2.2.6 任务 图 和 等 待 依赖 关系 


考察 图 2-10 所 示 的 构件 Relay， 它 有 一 个 布尔 输入 变量 in 和 一 个 布尔 输出 变量 out。 构 件 
Relay 是 一 个 没有 任何 状态 变量 的 复合 构件 ， 在 每 次 循环 中 ， 它 简单 地 将 输入 复制 到 输出 。 

让 我 们 比较 构件 Relay 和 构件 Delay。 可 以 观察 到 ， 它 们 有 相同 的 输入 /输出 变量 。 
在 给 定 的 循环 中 ,构件 Delay 的 输出 并 不 取决 于 该 循环 中 它 的 输入 ， 而 构件 Relay 仅 在 
读 取 该 循环 的 输入 后 产生 输出 。 直 观 地 说 ， 构 件 Relay 的 输出 必须 等 待 其 输入 ， 而 构件 
Delay 的 输出 则 不 需要 等 待 其 输入 。 这 种 输入 变量 对 输出 变量 的 关键 的 循环 内 依赖 关系 可 
影响 构件 的 组 成 方式 。 

在 构件 Delay 的 当前 反应 描述 中 ， 给 定 输入 和 当前 状态 ， 由 两 个 赋值 语句 构成 的 更 
新 代码 计算 输出 和 更 新 的 状态 。 这 个 整体 描述 隐藏 了 输出 对 输入 的 内 部 循环 依赖 关系 。 为 
了 避免 这 个 问题 ， 我 们 人 允许 把 反应 描述 分 割 成 多 个 任务 。 这 可 通过 修改 构件 Delay 的 描 
述 获 得 图 2-11 所 示 的 构件 SplitDelay 来 说 明 。 

Aix + out Ain x 


bool in bool out 


图 2-10 复合 构件 Relay 图 2-11 带 分 割 反应 的 构件 splitDelay 


构件 SplitDelay 的 反应 描述 分 割 为 两 个 执行 任务 A MA FES Ai 利用 状态 变量 
工 计算 变量 out， 而 任务 A 利用 的 输入 变量 in 更 新 状态 变量 z。 一 般 来 说 ， 每 个 任务 都 有 
一 个 关联 的 变量 的 读 集 合 R 和 写 集合 WW， 它 根据 读 集合 R 的 值 对 写 集合 W 进行 赋值 。 注 
意 ， 任 务 的 写 集合 不 应 包括 构件 的 任何 输入 变量 。 读 / 写 集合 还 可 以 包括 用 于 描述 反应 的 






if (inc=1 A dec=0) then 
{x := x + 1; out := x}; 

if (ine=0 A dec=1 A x>0) then 
{x :=x — 1; out =x}; 

if (ine =0 A dec =0) then out :=x 






nat out 














bool in bool out 












同步 模型 





局 部 变量 。 因 为 输出 变量 可 用 于 与 其 他 构件 进行 通信 ， 所 以 它 应 该 恰好 被 一 个 任务 写 。 在 
KARE, 一旦 构件 C 的 任务 A 负责 写 输 出 变量 y MAT, BA y 的 值 在 当前 循环 中 将 
不 再 改变 ， 即 使 在 构件 C 中 的 其 他 任务 尚未 执行 。 

在 这 里 的 表示 中 ， 我 们 用 圆 角 和 矩形 来 描述 任务 。 声 明 

ee ae ee 
表明 任务 A 有 读 集合 R= {x， Frs Ty Im MARS W={y.- Dos, o> Rig DA 任务 的 更 新 
描述 将 它 的 计算 过 程 描述 为 赋值 和 条 件 语句 的 序列 ， 或者， 可 使 用 扩展 状态 机 符号 表示 。 
更 新 描述 可 以 是 非 确 定性 的 :赋值 可 使 用 choose 结构 ， 在 扩展 状态 机 中 ， 相 同 模式 中 的 
多 模式 切换 上 的 守卫 条 件 可 以 同时 满足 。 这 样 ， 任 务 的 更 新 描述 Update 的 数学 语义 是 读 
集合 中 的 变量 值 与 写 集合 中 的 变量 值 之 间 关 系 上 LUpdate]。 也 就 是 说 ，[LUpdate] 包 含 形 如 
(s, 2 的 一 个 二 元 组 ， 其 中 ,5E Qr 和 +EQr。 

在 图 2-11 的 示例 中 ， 对 于 任务 A. 读 集 合 为 {rz} ， 写 集合 为 {out} ， 更 新 由 赋值 out =x 
来 描述 ; “对 任务 A,， 读 集合 为 {in} ， 写 集合 为 {x}， 更 新 由 赋值 x :=in 来 描述 。 

当 反应 描述 被 分 割 为 多 个 任务 时 ， 我 们 需 指 定 任务 执行 顺序 的 约束 。 在 构件 Split- 
Delay 的 例子 中 ， 任 务 A, 必须 在 任务 A; 之 前 执行 ， 为 了 预期 的 行为 ， 需 要 依据 这 两 个 
任务 的 相关 顺序 执行 它们 的 赋值 语句 。 我 们 用 优先 约束 A <A, 表示 任务 A 应 该 在 任务 
A, 之 前 执行 。 在 说 明 中 ， 优 先 约束 A <A 用 从 任务 A 到 任务 A 的 箭头 表示 。 因 此 ， 
在 构件 的 任务 图 描述 中 ， 节 点 代表 任务 (包括 相关 的 读 集合 ， 写 集合 和 更 新 描述 )， 边 代表 
同一 次 循环 内 的 任务 执行 顺序 所 对 应 的 优先 约束 。 

给 定 任 务 之 间 的 优先 关系 二， 关系 <* 表示 关系 过 的 传递 闭 包 。 对 两 个 任务 A 和 A'， 
若 任 务 图 中 有 一 条 由 A 到 A' 的 路 径 ， 则 有 A 过 + A' 成 立 。 换 句 话 说 ， 如 果 对 任意 nn 二 1， 
都 有 一 个 优先 约束 链 AKA <A, W A,<+A,。 若 A<+A' 成 立 ， 则 任务 A 必须 在 
任务 4 "之 前 执行 。 因此 ， 关系 尖 “捕获 所 有 隐 含 在 优先 约束 中 的 执行 顺序 的 约束 。 我 们 要 
求 优先 关系 过 是 无 环 的 ， 即 没有 这 样 一 个 任务 A 满足 A<-“A， 也 就 是 说 ， 任 务 图 不 包含 
任何 环 路 。 特 别 是 ， 如 果 A <A, 是 一 个 优先 约束 ， 那 么 我 们 无 法 获得 约束 A <A. 

关系 过 捕获 的 优先 约束 导致 输出 变量 与 输入 变量 之 间 的 等 待 依赖 。 由 一 个 任务 写 人 的 
输出 变量 必须 等 待 这 个 任务 读 取 的 输入 变量 ,， 并且 如 果 A< A, WH A, 写 入 的 输出 变 
量 必须 等 待 由 A, 读 取 的 输入 变量 。 如 果 输 出 变量 > 根据 任务 之 间 的 优先 约束 过 等 待 输 入 
变量 a, Wid y<zx。 

在 该 示例 构件 SplitDelay 中 ， 通 过 上 述 定义 ， 输 出 变量 out REIMA DE in, R 
认 情 况 下 ， 当 构件 的 反应 描述 没有 显 式 地 分 割 成 多 个 任务 时 ， 可 以 将 它 视 为 单个 任务 ,该 
任务 带 有 包含 所 有 输入 和 状态 变量 的 读 集 合 ， 它 的 写 集合 包含 所 有 输出 和 状态 变量 ， 更 新 
描述 与 反应 描述 相同 。 在 这 种 情况 下 ， 每 个 输出 变量 等 待 每 个 输入 变量 。 对 于 构件 Relay 
和 Delay， 输 出 变量 out 等 待 输 入 变量 in, 

一 个 输出 变量 可 以 等 待 多 个 输入 变量 ,不同 的 
输出 变量 可 以 等 待 不 同 的 输入 变量 。 如 果 我 们 允许 
优先 关系 过 < 描述 任务 之 间 的 偏 序 约 束 ， 则 可 以 捕获 
上 述 信 息 。 为 了 说 明 这 一 点 ， 考 虑 复合 构件 Par- bool in, Ax in, + out, 
allelRelay(SW 2-12), EA RIT A 2EM in, 
和 in. ， 两 个 输出 变量 out, 和 out: 。 在 每 次 循环 中 ， 图 2-12 构件 ParalleRelay: out 
该 构件 将 输入 变量 in 复制 给 输出 变量 out ， 并 将 等 待 in 以 及 out, 等 待 in 










A,: in, + out, 


bool in, bool out, 






bool out, 
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输入 变量 in, 复制 给 输出 变量 out; 。 我 们 希望 表达 out, 等 待 im 而 不 是 in; out: FFF in 
而 不 是 in 。 这 是 通过 将 反应 描述 分 割 为 两 个 任务 A 和 A， 而 实现 的 。 任 务 A ¥ in, 并 写 
outi, MES A, 读 取 in, 并 写 outs 。 这 两 个 任务 之 间 没 有 优先 约束 ， 因 此 任务 图 没有 边 。 
这 意味 着 这 两 个 任务 是 独立 的 ， 并 且 可 以 以 任何 顺序 执行 (如 果 在 并 行 硬件 上 实现 ， 甚 至 
可 以 并 发 执行 )。 

任务 调度 是 与 优先 关系 一 致 的 所 有 任务 的 线性 顺序 。 对 构件 SplitDelay， 只 有 一 种 
任务 调度 : A! ，A;， 而 对 于 构件 ParallelRelay， 任 务 调度 有 两 种 :， A!，A， 和 A, 
Ai 。 一 般 来 说 ， 对 于 有 上 个 任务 的 任务 图 ， 调 度 是 所 有 任务 的 一 个 排序 ， AL, Ary o> 
A.» WHEW: 对 该 排序 中 的 任意 两 个 任务 A、A',， 车 有 一 个 从 A 到 A 的 优先 约束 ， 
那么 在 任务 调度 中 A 必须 在 A' 之 前 执行 。 

因此 ， 由 过 描述 的 顺序 约束 可 以 允许 多 种 调度 。 任 务 之 间 的 任何 三 元 关系 过 只 要 遵循 
以 下 准则 ， 就 可 以 将 这 种 关系 过 作为 一 个 可 行 的 优先 关系 。 正 如 前 面 已 讨论 过 的 ， 第 一 ， 
这 种 优先 关系 图 应 该 是 无 环 的 ， 才 能 确保 至 少 以 一 个 可 能 的 任务 排序 方式 来 进行 任务 调 
度 。 第 二 ， 如 果 任 务 A, 读 取 一 个 输出 或 一 个 局 部 变量 >， 则 在 任何 可 能 的 时 间 调 度 中 ， 
优先 约束 都 应 该 强制 y FEA, 执行 之 前 就 已 经 被 计算 。 如 果 有 一 个 任务 AISA y， 使 得 
A <* A, 成 立 ， 那 么 这 种 约束 关系 是 可 以 保证 的 。 第 三 ， 我们 要 确保 根据 优先 约束 确定 的 
两 个 独立 的 任务 能 够 以 任何 不 影响 其 执行 结果 。 例 如 ， 在 构件 SplitDelay 中 ,任务 A 
读 取 xz， 任务 A 写 信 x。 如 果 这 两 个 任务 没有 排序 (也 就 是 说 ， 如 果 没 有 优先 边 A, <A), 
那么 它 应 视 为 一 个 依赖 于 两 个 任务 谁 先 执行 的 语法 错误 。 一 般 来 说 ， 如 果 有 一 个 变量 属于 
某 任务 的 写 集合 ， 同 时 属于 另 一 任务 的 读 集合 或 写 集合 ， 则 这 两 个 任务 具有 写 冲 突 。 构 件 
SplitDelay 中 的 任务 A, MA, 有 一 个 写 冲 突 ， 但 构件 ParallelRelay MEA. P 
个 任务 具有 写 冲突 时 ， 其 执行 顺序 很 重要 ， 因 此 需要 在 优先 关系 中 约束 其 执行 顺序 。 

作为 一 个 描述 任务 一 般 性 规范 的 例子 ， 考 察 图 2-13 所 示 的 构件 的 任务 图 ， 该 构件 有 
两 个 状态 变量 x, 和 zz ， 两 个 输入 变量 in, 和 ing, UE 3 个 输出 变量 out, , out, 和 outs. 
反应 描述 也 使 用 局 部 变量 y。 每 个 输出 变量 仅 由 一 个 任务 写 : A; B outi, A, & out, 和 Ay 
写 outs 。 优 先 关系 为 : A <A, A <A, 和 A: 关 A,， 并 且 该 关系 是 无 环 的 。 任务 A, 读 输 
出 out, 是 合法 的 ， 是 因为 存在 一 个 优先 边 从 任务 A; 输出 outs 。 同 样 ， 在 局 部 变量 y 由 任 
A, 使 用 之 前 由 任务 A 写 入 。 根 据 优先 约束 不 能 保证 任务 A 与 任务 A 和 As 之 间 的 优 
先 关 系 ， 这 意味 着 任务 A 不 会 与 A! 和 A， 有 写 冲 突 。 确 实 是 这 种 情况 。 最 后 ， 验 证 对 每 
一 个 状态 变量 xz, 和 xz,， 任 务 写 变量 的 顺序 与 任务 读 该 变量 的 顺序 相关 。 例 如 ， 任 务 A, 读 
变量 2, 的 “ 旧 ” 值 ， 任 务 A 将 读 通过 由 任务 A. 的 写 操作 来 更 新 的 zi 的 值 。 通 过 优先 约 
束 实现 的 等 待 依赖 为 : 输出 变量 out, 等 待 输入 变量 in ， 输 出 变量 out, 不 等 待 任何 输入 ， 
输出 变量 Outs 同时 等 待 输入 变量 in, 和 in, 。 于 是 有 关系 : out; >in, out; >in, 和 out; >in, o 





图 2-13 任务 图 示例 
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将 更 新 分 割 为 多 个 任务 的 定义 和 规则 ， 以 及 它们 导出 的 输入 和 输出 变量 之 间 的 等 待 依 
赖 关系 可 以 总 结 如 下 。 


任务 图 和 等 待 依赖 

对 于 一 个 同步 反应 式 构件 C， 其 具有 输入 变量 工 输出 变量 O 和 状态 变量 S$， 我们 
可 以 用 由 所 有 任务 及 任务 集合 上 的 二 元 优先 关系 过 组 成 的 局 部 变量 集合 工 来 描述 构件 
反应 的 任务 图 。 每 个 任务 A 有 一 个 读 集合 RCIUSUOUL、 一 个 写 集合 WOU SUL 
和 一 个 更 新 描述 [EUpdate 了 CQs XQw， 使 得 : 

D 优先 关系 < 为 无 环 的 。 。、 

2) 每 个 输出 变量 只 属于 一 个 任务 的 写 集合 。 

3) 如 果 输 出 或 局 部 变量 y 属于 任务 A 的 读 集 合 ， 则 存在 一 个 任务 A' 使 得 变量 y 
属于 任务 A' 的 写 集合 , BA’<TA., 

4) 如 果 一 个 状态 或 一 个 局 部 变量 z 属于 任务 A 的 写 集合 ， 并 且 也 属于 另 一 任务 
A/ 的 读 集合 或 写 集合 ， 则 A< ARA HA, 

对 输出 变量 > 和 输入 变量 x， 称 y 等待 去 (也 记 作 y> 匡 仅 当 对 一 个 唯一 的 任务 A， 
使 得 yy 属于 任务 A 的 写 集合 ， 要 么 第 工 属 于 任务 入 的 读 集 合 ， 要 么 存在 男 一 个 任务 
A, 它 满足 A'<*A 且 xz 属 于 A' 的 读 集合 。 


为 了 执行 一 个 有 反应 任务 图 描述 的 构件 ,我 们 首先 选择 一 个 任务 调度 ， 该 调度 具有 与 
优先 关系 一 致 的 任务 执行 顺序 ， 然 后 任务 将 按 该 顺序 一 个 接 一 个 地 执行 。 执 行 任务 A 的 过 
程 是 基于 读 集合 中 的 变量 值 对 写 集合 进行 赋值 的 过 程 。 注 意 ， 执 行 的 一 致 性 确保 一 个 输出 
变量 仅 被 赋值 一 次 ， 如 果 通 过 任务 A 读 取 ， 则 在 任务 A 执行 完毕 前 ， 就 完成 了 对 输出 变 
量 的 赋值 。 也 就 是 说 ， 如 果 任 务 A 读 取 状态 变量 zx， 则 A 在 该 循环 开始 时 就 读 取 xz 的 值 
( 当 优 先 于 A 的 任务 的 写 集合 都 没有 变量 工时 ， 该 情况 才 发 生 )， 或 者 存在 一 个 唯一 的 任 
务 A ， 其 输入 变量 z 在 其 写 集合 中 ， 且 满足 A 总 是 读 人 由 A' 写 入 的 值 (此 时 不 考虑 调度 
选择 )， 由 于 所 有 写 入 z 的 任务 与 任务 A 都 是 全 序 的 优先 关系 。 

在 图 2-13 的 示例 中 ,任务 执行 有 5 个 可 能 调度 : 

Ai »A2sAs ,As; A Aż, A, As5; A; 5A; +A2 ,Ai A:ssAi,As,A1; A2,Aı sA; sA; 
构件 的 可 能 的 反应 集合 取决 于 4 个 任务 的 更 新 描述 ， 但 不 依赖 于 调度 方案 。 

构件 的 属性 ， 如 确定 性 和 输入 使 能 等 ， 可 以 在 任务 中 自然 地 加 以 定义 ， 从 而 使 其 实现 
构件 的 相关 属性 : 

e 确定 性 任务 : 任务 A 具有 读 集合 RR、 写 集合 W 和 更 新 描述 Update， 如 果 对 于 每 一 

个 sSER， 都 存在 一 个 唯一 的 :EW， 使 得 (s，t) EUpdate]， 则 称 该 任务 是 确定 性 
的 。 因此， 给 定 读 变量 的 值 ， 确 定性 任务 将 给 变量 写 人 唯一 的 值 。 如 果 构 件 只 有 一 
个 初始 状态 ， 并 且 反 应 的 任务 图 描述 中 的 所 有 任务 都 是 确定 性 的 ， 则 该 构件 必须 是 
确定 性 的 。 这 是 因为 构成 合法 优先 关系 的 需求 确保 调度 不 影响 执行 任务 的 结果 。 

e 输入 使 能 的 任务 : 更 新 任务 A 具有 读 集合 尺 、 写 集合 W 和 更 新 描述 Update, WR 

对 于 每 一 个 sSER， 都 至 少 存在 一 个 1E 柳 ,使 得 (%，b5DE[LUpdate]， 则 称 该 任务 是 
输入 使 能 的 。 因 此 ， 给 定 读 变量 的 值 ， 一 个 输入 有 效 的 任务 至 少 产生 一 个 结果 。 现 
在 考察 一 个 构件 ， 它 具有 反应 的 任务 图 描述 ， 这 样 所 有 任务 都 是 输入 有 效 的 。 给 定 
一 个 状态 和 一 个 输入 ， 我 们 可 以 执行 与 优先 约束 一 致 的 所 有 更 新 任务 。 因 为 每 个 任 
务 都 是 输入 使 能 的 ， 执 行 的 每 一 步 都 总 存在 一 种 执行 方式 ， 所 以 构件 将 至 少 产生 一 
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个 反应 。 因 此 ， 这 样 的 构件 是 输入 使 能 的 。 

练习 2. 11: 考虑 练习 2. 3 中 的 构件 。 将 构件 的 反应 描述 分 割 为 两 个 任务 ， 使 得 输出 = 等 待 输入 zx 和 y， 
但 不 等 待 输入 reset。 

练习 2. 12: 考虑 一 个 同步 反应 式 构件 C， 该 构件 有 输入 变量 xz、 输出 变量 > 和 z。 该 构件 有 两 个 任务 A 
和 A: ， 使 得 输出 变量 y 属于 任务 Ai 的 写 集合 ， 输 出 = 属于 任务 A， 的 写 集 合 。 如 果 已 知 输 
出 > 等待 输入 z ， 但 输出 < 不 等 待 z， 则 
我 们 可 以 可 得 到 的 关于 任务 A! MA 的 polr 
优先 约束 的 哪些 结论 ? Ay wy Bit Sia 


练习 2.13: 考虑 图 2-14 所 示 的 同步 反应 式 构件 。 列 boolz 


出 构件 的 所 有 可 能 的 反应 。 输 出 y 等 待 J TAT 
工 吗 ? 输出 z Se a 吗 ? 2-14 采用 任务 图 说 明 构件 


booly 





练习 2.14: 设计 一 个 同步 反应 式 构件 ComputeAverage， 它 具有 一 个 整 型 输入 变量 z、 一 个 输入 事件 变 
Ht clock 和 一 个 实数 输出 变量 y。 构 件 有 以 下 行为 : 在 第 一 次 循环 中 ， 输 出 y 为 0; 在 随后 的 
循环 i 中 ， 令 7 二 i 是 循环 i 之 前 最 近 的 循环 ， 并 且 该 循环 中 的 事件 clock REE GE i 之 前 的 
所 有 循环 中 的 事件 clock MARA. WS 7 二 0)， 则 输出 应 为 循环 7 ，j 十 1，……，i 一 1 中 输入 
工 的 平均 值 。 下 表 是 预期 构件 的 一 个 样本 行为 : 








设计 一 个 构件 使 得 该 构件 的 输出 y 不 等 待 任何 输入 变量 的 输入 值 。 


2.3 构件 构成 
2.3.1 方 框图 


假设 想 要 设计 一 个 反应 式 构件 ， 它 有 一 个 布尔 输入 变量 in 和 一 个 布尔 输出 变量 out, 
使 得 在 头 两 个 循环 中 输出 为 0， 在 接 下 来 的 每 个 循环 浆 中 ， 输 出 都 等 于 循环 "一 2 的 输入 。 
为 了 从 头 设 计 该 构件 ， 我 们 总 是 重用 构件 Delay。 将 两 个 构件 Delay 以 顺序 方式 组 合成 
预期 的 构件 。 以 此 方法 设计 的 构件 DoubleDelay 如 图 2-15 所 示 。 构 件 设计 用 显而易见 
的 方 框 图 表示 ， 它 可 给 出 直观 的 图 解 描述 ， 几 乎 所 有 的 高 级 散人 式 系统 设计 工具 都 支持 这 
样 的 方 框图 。 仔 细 检 查 方 框图 可 以 发 现 该 构件 有 3 个 操作 : 
© 初始 化 : 构件 Delayl 和 Delay2 都 是 构件 Delay 的 实例 。 这 样 的 实例 可 以 通过 
重 命名 输入 /输出 变量 而 获得 。 例 如 ， 将 构件 Delay 的 输出 变量 名 out 改 为 temp 
就 得 到 构件 Delayl. 
e 并 行 组 合 : 两 个 构件 Delayl 和 Delay2 可 以 并 行 执行 。 方 框图 显示 了 Delayl 的 输 
出 与 构件 Delay2 的 输入 相同 ， 并 以 此 方式 完成 了 构件 之 间 的 通信 。 该 通信 方式 是 同 
步 进行 的 。 在 每 次 循环 中 ,构件 Delayl 读 它 的 输入 in、 产生 输出 temp 并 更 新 其 
内 部 状态 来 记录 in 的 当前 值 。 在 同一 次 循环 中 ， 构 件 Delay2 读 和 由 构件 Delayl 
产 提供 的 输入 temp、 产 生 其 输出 out 并 更 新 其 内 部 状态 来 记录 temp 的 当前 值 。 
e 输出 隐藏 : 对 于 构件 DoubleDelay， 相 关 输 出 变量 为 out， 变 量 temp 是 一 个 唯一 
的 辅助 变量 ， 它 仅 用 于 实现 DoubleDelay. FEA: 变量 temp 为 局 部 变量 ， 
它 并 不 输出 到 构件 的 外 部 。 
构件 DoubleDelay 的 文本 定义 为 : 


(DelayLout — temp]||Delay[in — temp]) \ temp 
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bool temp bool out 
: Delayl icles Delay2 » 


图 2-15 从 构件 两 个 Delay 到 构件 DoubleDelay 的 方 框图 


接 下 来 ,我 们 将 详细 讨论 EE 述 表达 式 中 的 3 个 操作 ， 它 们 分 别称 为 : 并 行 组 合 |、 重 
命名 =、 以 及 隐藏 \ 。 


2.3.2 输入 /输出 变量 重 命名 


在 对 构件 进行 组 合 和 连接 操作 之 前 ， 可 能 需要 对 构件 变量 进行 重 命名 ， 这 样 才能 使 不 
同 构件 的 状态 变量 没有 命名 冲突 ， 通 过 输入 /输出 变量 的 常用 名 可 以 表达 构件 期 望 的 输入 
与 输出 之 间 的 连接 。 在 建 模 实践 中 ， 常 常 假设 状态 变量 的 重 命名 是 隐 含 实现 的 ， 并 由 机 器 
实现 ， 不 给 设计 者 增加 负担 。 例 如 ， 在 图 2-15 中 ,假设 用 zi 代替 z 为 构件 Delayl KWAR 
态 变量 命名 ， 构 件 Delay2 的 状态 变量 为 z;。 输 入 /输出 变量 的 重 命名 需要 显 式 地 定义 ， 
因为 它 建立 了 构件 之 间 的 期 望 的 通信 模式 。 

& C=C, O, S, Init, React AWA RMR, x 为 输入 或 输出 变量 、y 是 一 个 新 
的 变量 (也 就 是 说 ，y 不 是 构件 C 的 输入 变量 :输出 变量 或 状态 变量 )， 使 得 工 与 y 具有 相 
同 的 类 型 。 那 么 ， 构 件 C 通过 将 工 重 命名 为 y 而 实现 构件 的 同步 反应 ， 写 作 CLz 一 y]。 
即 同 步 反 应 式 构件 是 通过 将 构件 C 描述 中 的 变量 名 zz 改 成 y 而 获得 的 。 

在 这 个 表示 方法 中 。 构 件 Delayl 定义 为 Delay[out — temp]。 对 于 构件 Delayl, 
输入 变量 集合 为 {in)、 输 出 变量 集合 为 {temp}、 状 态 变 量 集合 为 {zi}、 初 始 化 为 zi :一 0， 
以 及 反应 描述 为 temp =a; zi :三 in。 同 样 ， 构 件 Delay2 XW Delaylin— temp]. 

观察 到 变量 重 命 名 不 改变 构件 的 属性 。 例 如 ， 若 构件 为 确定 性 的 ， 则 其 重 命名 实例 也 
为 确定 性 的 ; 车 构件 为 事件 触发 的 ， 则 其 重 命名 实例 也 为 事件 触发 的 。 


2.3.3 并 行 组 合 


并 行 组 合 操作 将 两 个 单个 构件 组 合 为 一 个 构件 ， 该 构件 行为 捕获 两 个 构件 并 发 执行 时 
构件 之 间 的 同步 交互 。 

变量 名 的 兼容 性 

考察 构件 Ci =(T，O0，S ，Init ，Reacti ) 和 CC 一 (五 ，O，Ss ，JInitt ，Reactz)。 在 
组 合 两 构件 之 前 ， 需 要 检查 其 变量 声明 的 兼容 性 。 第 一 ， 状 态 变 量 的 命名 应 该 没有 冲突 。 
E x AEC, 的 状态 变量 ， 则 构件 C 的 状态 变量 都 不 能 称 为 zx。 也 就 是 说 ， 集 合 Si 与 
集合 五 、O FS, 都 不 相交 ; 相应 地 ， 集 合 S; 与 集合 五 、O MS, 也 不 相交 。 值 得 注意 的 
是 ， 状 态 变量 的 命名 确实 是 构件 私有 的 属性 。 我 们 总 是 通过 重 命 名 这 些 变量 来 避免 组 合 构 
件 时 可 能 发 生 的 命名 冲突 。 例 如 ， 变 量 名 可 以 加 上 构件 名 作为 前 级。 今后 ， 我 们 假设 状态 
变量 的 名 称 通过 避免 命名 冲突 的 模式 进行 选择 。 同 样 ， 若 利用 局 部 变量 进行 反应 描述 ， 我 
们 将 假设 那些 局 部 变量 的 命名 为 唯一 的 且 不 与 其 他 变量 的 名 称 冲突 。 

第 二 ， 一 个 变量 可 作为 两 个 构件 的 输入 变量 ， 一 个 构件 的 输出 变量 可 作为 另 一 个 构件 
的 输入 变量 ， 但 同一 个 变量 不 能 作为 两 个 构件 的 输出 变量 。 也 就 是 说 ， 集 合 O 和 @: 不 相 
交 。 甚 结果 是 仅 有 一 个 构件 负责 给 定 变量 的 取 值 控制 。 
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积 构件 变量 

当 两 个 构件 C 和 C; 兼容 时 ， 可 定义 它们 的 并 行 组 合 ， 记 为 C lC ， 从 而 形成 另 一 个 
同步 响应 构件 C。 我 们 将 构件 C 当 作 构件 C, 和 Cs 的 同步 积 。 接 下 来 的 内 容 将 进一步 描述 
如 何 构 造 构件 C 的 输入 变量 、 输 出 变量 、 状 态 变量 、 初 始 化 和 反应 描述 。 

构件 的 每 个 状态 变量 都 是 积 构件 的 状态 变量 ， 即 构件 C 的 状态 变量 集合 S 是 构件 C 
和 C 的 状态 变量 集合 的 并 SSS US: 。 同 样 ， 每 个 构件 的 输出 变量 也 都 是 积 构件 的 输出 
变量 ， 即 构件 C 的 输出 变量 集合 O 是 构件 件 C 和 C; 的 输出 变量 集合 的 并 O=OU O: 。 
构件 的 每 个 输入 变量 是 积 构件 的 输入 变量 ， 如 果 它 不 是 另 一 个 构件 的 输出 变量 ， 即 构件 C 
的 输入 变量 集合 为 1 二 (LU I)\ O， 等 于 集合 I 用 UI; 与 集合 O 的 不 交 的 那 部 分 集合 。 

例如 ， 构件 Delayl 和 Delay2 的 组 合 形成 的 构件 具有 状态 变量 {x ，zz}、 输 出 变量 
{temp，out) 和 输入 变量 为 {in})。 

积 构件 状态 

积 构件 C 的 状态 给 状态 变量 集合 S, AS, 中 的 变量 赋值 。 构 件 C 根据 构件 C 的 初始 
化 值 Init HEPES, 中 的 变量 并 根据 构件 C; 的 初始 化 值 Init: 选择 S; 中 的 变量 来 获得 C 的 初 
始 状 态 。 若 两 个 初始 状态 变量 Init 和 Inits 的 初始 化 是 由 赋值 语句 的 序列 给 出 的 ， 那 么 ， 
积 构件 的 初始 状态 变量 Init 的 可 定义 为 Init ; Init;， 或 者 等 价 于 Inits ; Init ， 因 为 初始 赋 
值 的 两 个 方 框图 中 并 没有 写 人 冲突。 在 组 合 两 个 构件 Delayl 和 Dealy2 的 例子 中 ， 积 构件 
的 唯一 初始 状态 将 状态 变量 zi 和 zs 都 赋值 为 0， 该 初始 化 操作 可 以 描述 为 zi 二 0; zs 二 0。 

积 构件 的 反应 描述 

下 面 考察 如 何 获得 积 构 件 的 反应 描述 及 相应 的 反应 集合 。 若 两 个 构件 C 和 C 的 反应 
描述 分 别 使 用 局 部 变量 L! A L 表示 ， 则 积 构件 的 反应 描述 的 局 部 变量 集合 为 Li UL. 

如 果 两 个 构件 之 间 没 有 通信 ， 并 且 当 一 个 构件 的 输出 不 是 另 一 构件 的 输入 时 也 是 这 种 
情况 ， 那 么 两 构件 就 可 以 独立 执行 。 为 了 获得 积 构件 的 反应 ， 我 们 可 先 执行 某 个 构件 的 更 
新 代码 ， 接 着 再 处 理 另 一 个 构件 的 更 新 代码 ， 它 们 执行 的 先后 顺序 并 不 重要 。 然 而 ， 当 某 
个 构件 的 输出 是 另 一 个 构件 的 输入 时 ， 在 一 次 循环 内 构件 的 执行 是 有 顺序 约束 的 。 若 输 
入 /输出 的 连接 只 有 一 种 方式 ， 就 像 在 构件 Delayl 与 Delay2 组 合 的 例子 中 一 样 ， 那 么 
Delayl 的 输出 为 Delay2 的 输入 ， 反 之 则 不 成 立 。 那 么 ， 我 们 可 以 根据 构件 连接 的 顺序 
来 执行 构件 的 更 新 : 我 们 可 先 执行 构件 Delayl1， 然后 执行 构件 Delay2。 换 言 之 ， 积 构 
件 的 反应 描述 由 两 个 构件 的 任务 图 组 成 ， 任 务 A, 对 应 构件 Delayl 的 反应 描述 ， 任 务 A, 
对 应 构件 Delay2 的 反应 描述 ， 优 先 级 边 为 从 Ai 到 A 。 积 构件 如 图 2-16 所 示 。 积 构件 的 
反应 可 用 如 下 序列 表示 ， 其 中 在 每 个 状态 中 ， 我 们 以 (zi，xzz) 的 有 序 对 表示 状态 变量 的 
值 ， 以 (temp，out) 的 有 序 对 表示 输出 变量 的 值 ; 


0/(0,0) 1/€0,0) 0/(0,1) 1/(0,1) 
0) $= us (00) ——— (1 ,0);" (0,1) ———> (0,0); 0,1) ———— C50); 


0/(1.0) 1/(1,0) 0/(1,1) 1/(1,D 
0) m0 Ce lsD; (li) = 5s oe ed) = > AD) 





bool x, := 0; x,:=0 


bool temp 


2-16 构件 pelayl 和 构件 Delay2 的 并 行 组 合 


同步 模型 25 


任务 图 组 合 

作为 另 一 个 并 构件 行 组 合 的 例子 ， 考 察 图 2-17 所 示 的 构件 组 合 ， 其 中 ， 构 件 split- 
Dealy 的 输出 out 与 构件 Inverter 的 输入 相连 接 ; 相反 ， 构 件 Inverter 的 输出 与 
SplitDealy 的 输入 也 有 连接 。 构 件 Inverter 为 一 个 复合 构件 ， 其 输出 设置 为 输入 的 
否定 。 这 种 构件 的 循环 组 合 称 为 反馈 组 合 。 构 件 组 合 而 成 的 积 构件 如 图 2-18 所 示 。 积 构 
件 没有 输入 变量 ， 有 两 个 输出 变量 in 和 out， 以 及 一 个 状态 变量 zx。 构件 SplitDelay 更 
新 程序 的 任务 图 描述 建议 积 构件 在 每 个 循环 执行 调度 。 在 每 个 循环 中 ， 我 们 先 执行 构件 
SplitDelay 的 任务 Ai 来 为 变量 out 赋值 。 现 在 ， 因 为 它 的 输入 是 有 效 的 所 以 可 以 执行 
构件 Inverter, EAE in 赋 一 个 值 。 随 后 ， 使 用 这 个 值 可 以 执行 构件 SplitDelay 
的 任务 A: 。 事 实 上 ， 我 们 通 可 过 合并 这 两 个 构件 的 任务 图 来 构建 积 构件 的 任务 图 。 在 本 
例 中 ,构件 Inverter 有 单一 的 任务 A， 它 读 out、 写 in。 我 们 保留 初始 的 优先 约束 (在 构 
{F} SplitDelay 的 任务 图 中 从 A, 到 A: 的 边 )， 并 添加 反映 变量 依赖 关系 的 附加 优先 边 。 
对 于 这 些 附加 的 跨 构件 的 优先 级 边 的 通则 为 : 

如 果 属 于 一 个 构件 的 任务 A 读 变 量 y， 它 同时 又 是 另 一 构件 的 输出 变量 ， 那 
么 从 写 y 的 唯一 任务 到 任务 A 添加 一 条 优先 边 。 


SplitDelay 


bool out 


in := > out 





图 2-17 构件 SplitDelay 与 Inverter 的 反馈 组 合 


A,: x out 





bool out 





图 2-18 构件 SplitDelay 和 构件 Inverter 的 并 行 组 合 


由 于 构件 Inverter 的 任务 A 读 取 由 构件 SplitDelay 的 任务 A 计算 的 变量 out, 
所 以 该 规则 给 出 了 一 条 从 构件 SplitDelay 的 任务 Ai 到 构件 Inverter 的 任务 A 的 边 。 
同时 ， 由 于 构件 SplitDelay 的 任务 A: 读 取 由 任务 A 计算 的 变量 in， 该 规则 也 给 出 了 一 
条 从 构件 Inverter 的 任务 A 到 构件 SplitDelay 的 任务 A. 的 边 。 在 第 一 个 循环 中 ， 
变量 out 的 值 为 0， 变 量 in 的 值 为 1， 在 接 下 来 的 每 个 循环 中 ， 这 两 个 变量 的 值 不 断 切换 。 
也 就 是 说 ， 积 构件 产生 的 输出 序列 ， 为 先 列 出 in 的 值 ， 再 列 出 out 的 值 ， 可 表示 为 10, 
Ors- 10502 TO = 

现在 ， 我 们 可 以 给 出 积 构件 的 反应 描述 的 精确 定义 。 假 设 对 两 构件 C! 和 C 的 反应 描 
述 由 任务 图 给 出 。 我 们 知道 当 反 应 描述 没有 明确 地 分 为 多 个 任务 时 ， 我们 将 其 视 为 单个 任 
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务 ， 该 任务 读 取 所 有 状态 和 输入 变量 ， 并 写 人 所 有 状态 和 输出 变量 ， 因 此 这 将 导致 每 个 输 
出 变量 对 输入 变量 的 等 待 依赖 。 积 构件 中 的 任务 集 是 这 两 个 构件 的 任务 集 的 并 集 。 积 构件 
的 优先 关系 过 是 构件 任务 图 的 优先 关系 过 和 一 。， 以 及 根据 上 述 规 则 的 跨 构 件 的 边 的 并 。 

我 们 给 出 男 一 个 例子 。 考 察 图 2-19 所 示 的 构件 ParallelRelay M Inverter 的 组 
合 。 构 件 ParalleRelay 中 有 两 个 相互 独立 的 任务 A 和 A;。 由 于 构件 Inverter 读 
outt 、 写 入 in ， 所 以 我 们 得 到 从 A 到 A 以 及 从 A BA, 的 跨 构件 的 边 。 这 说 明 一 个 新 的 
传递 优先 约束 : 在 积 构件 中 任务 A 必须 在 任务 A 之 前 执行 。 


ParallelRelay 


A: in, out, 


A: in, out, 
out, := in, 


Inverter 


图 2-19 构件 ParellelDelay 和 构件 Inverter 的 并 行 组 合 


等 待 依赖 的 无 环 性 

跨 构件 的 优先 边 可 导致 优先 约束 形成 一 个 环 路 。 这 个 问题 可 追溯 到 输入 /输出 等 待 依 
赖 形成 的 一 个 环 路 。 考 察 图 2-17 所 示 的 构件 SplitDelay 和 Inverter 的 反馈 组 合 ， 对 
构件 Inverter 来 说 ， 变 量 in 等 待 变量 out， 但 对 于 构件 DplitDelay 而 言 ， 不 存在 变 
fit out 和 in 之 间 的 等 待 依赖 。 对 于 一 个 具有 和 良 构 行为 的 积 构件 来 说 ， 构 件 任务 图 中 没有 相 
互 等 待 的 依赖 关系 是 非常 重要 的 。 具 有 相互 循环 等 待 依赖 关系 的 复合 构件 可 能 导致 不 可 预 
期 的 行为 ， 即 使 在 单一 构件 是 确定 性 时 。 下 面 用 两 个 例子 来 说 明 两 种 基本 问题 。 

图 2-20 给 出 了 两 个 Relay 构件 的 组 合 。 左 边 构件 将 它 的 输入 in 复制 给 输出 out, mi 
右边 构件 将 它 的 输入 out 复制 给 输出 in。 对 一 个 构件 而 言 ， 变 量 out 等 待 变量 in， 而 对 于 
另 一 构件 ， 变 量 in 等 待 变量 out， 这 将 不 可 能 以 一 致 的 方式 对 构件 更 新 进行 排序 。 若 仅 考 
虑 两 个 构件 的 反应 集合 并 用 数学 方法 组 合 这 些 集合 以 获得 与 这 两 个 构件 描述 相 一 致 的 反 
应 ， 则 在 每 个 循环 中 ， 积 构件 可 以 产生 两 个 输出 : 一 种 可 能 是 将 变量 in 和 out 都 设置 为 
0， 另 一 种 可 能 性 是 将 两 个 变量 都 设置 为 1。 这 样 ， 如 果 我 们 允许 组 合 这 两 个 构件 ， 则 我 们 
将 通过 组 合 确定 性 构件 来 获得 非 确定 性 构件 。 

与 多 个 可 能 的 一 致 性 反应 之 一 相反 的 问 BETSY abt ge 
题 出 现在 构件 Inverter 与 构件 Relay 的 组 
合 中 ， 如 图 2-21 fra. AWM Inverter Ja 
设置 其 输出 为 输入 的 否定 ， 右 边 构件 Relay ai aa 
把 输入 复制 给 输出 。 对 于 左边 的 构件 ， 变 量 
out 等 待 mn， 而 对 于 右边 的 构件 ， 变 量 in 等 待 、Inverter mee OS 
out 将 产生 一 个 循环 等 待 依赖 关系 。 在 这 种 情 
形 下 ， 没 有 与 这 个 构件 的 反应 相 一 致 的 对 这 两 sia 
个 变量 的 赋值 ， 因 此 积 构件 将 没有 任何 行为 。 ”图 2-21 具有 构件 Relay 和 构件 Inverter 的 

因此 ， 有 必要 检测 循环 等 待 依赖 关系 ， 非 良 构 的 组 合 循环 






bool in, bool out, 
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并 排除 这 种 非 良 构 组 合 的 可 能 性 。 令 >; 和 >: 代表 这 两 个 构件 的 等 待 依赖 。 例 如 ， 在 图 
2-20 所 示 的 例子 中 ， 对 顶部 构件 的 等 待 依赖 为 cut>iin， 而 底部 构件 为 in>,out。 这 两 个 
关系 的 并 产生 一 个 环 路 out>1in>。out。 仅 当 两 个 构件 的 等 待 依赖 的 并 > U >. 为 非 环 时 ， 
才 人 允许 对 这 两 个 构件 进行 组 合 ， 也 就 是 说 ,不 存在 输入 /输出 变量 序列 x s ts ns 
Zn 二 x1， 使 得 对 于 每 个 1<j<n， 根据 两 个 等 待 依赖 关系 中 的 一 个 zj 等待 x;。 该 条 件 可 
通过 建 模 语言 的 编译 器 自动 检测 。 

两 个 构件 组 合 的 相 容 性 条 件 定义 可 总 结 如 下 。 


构件 相 容 性 

构件 G 的 输入 变量 集 为 五， 输出 变量 集 为 O ， 输 入 /输出 等 待 依赖 关系 为 二 ;SEO X 
I; C, 的 输入 变量 集 为 L, 输出 变量 集 为 O;， 输入 /输出 等 待 依赖 关系 为 二 * 三 O: X I, . 
如 果 ，; 

1) 集合 O, 和 O: 是 不 相交 的 ; 

2) RRO USHAK. 

则 称 这 两 个 构件 为 相 容 的 。 


仅 当 两 构件 符合 上 述 定义 中 的 相 容 性 时 ， 我 们 才 可 能 进行 这 两 个 构件 的 并 行 组 合 。 通 
过 上 述 定义 可 观察 到 : 在 图 2-18 中 ， 如 果 我 们 用 构件 Delay 蔡 换 构件 SplitDelay， 那 
么 由 于 相 容 性 检查 不 能 通过 ， 所 以 这 两 个 构件 之 间 的 组 合 将 不 被 人 允许。 这 是 因为 构件 
Delay 有 单一 的 任务 ;因此 其 输出 out 等 待 输入 in。 由 于 构件 之 间 的 组 合 依赖 于 设计 者 制 
定 的 将 反应 描述 分 割 为 多 个 任务 的 组 合 语 法 ， 所 以 我 们 提出 的 确保 良 构 行为 组 合 方法 是 一 
种 保守 的 组 合 方法 。 

接口 

相 容 性 检查 的 一 个 有 意义 的 特点 是 ， 它 仅 推 断 了 输入 /输出 变量 及 其 等 待 依赖 。 我 们 
可 将 输入 集 T、 输 出 集 O 和 等 待 依赖 关系 > 三 OXT 视 为 构件 的 接口 。 为 形成 包括 多 个 构件 
的 方 框图 ， 设 计 者 可 关注 构件 的 接口 以 保证 相 容 性 和 一 致 性 ， 并 且 不 需 知道 状态 变量 和 任 
务 图 等 的 内 部 细节 。 

考察 图 2-22 所 示 的 构件 ， 它 给 出 了 一 个 利用 
接口 检验 相 容 性 的 例子 。 构 件 Ci 的 接口 对 应 于 
图 2-13 所 示 的 任务 图 。 接 口 简单 说 明了 输入 变量 
in, 和 in 、 输 出 变量 outi, out, 和 outs, Kms 
待 为 输出 out, 等 待 in 、 输 出 out; 等 待 in 和 in, 。 
方 框图 连接 构件 Ci 和 另 一 个 构件 Cre C: 的 接口 
表明 它 的 输入 变量 为 outi, out, 和 outs 、 输 出 变 
量 为 in 和 in, ， 依 赖 等 待 为 in 等 待 outs 、in 等 slaps 
ff out; 和 outs 。 需 要 验证 的 内 容 是 : 在 构件 组 合 依赖 中 没有 环 路 ， 并 且 构 件 之 间 的 接口 
是 相 容 的 。 因 此 ， 我 们 可 得 出 图 2-22 描述 的 构件 组 合 定义 是 良 构 的 。 

以 下 命题 断言 若 输入 /输出 变量 上 的 等 待 依赖 关系 的 并 确定 是 无 环 路 的 ， 则 积 构件 的 
任务 图 中 的 优先 约束 也 是 无 环 路 的 。 

命题 2. 1( 等 待 相 容 性 蓝 含 无 环 路 积 构件 任务 图 ) 4C 和 Cs 为 相 容 反应 式 构件 。 那 
么 ， 基 于 构件 C 和 Cs 的 无 环 任 务 图 可 以 通过 下 方式 获得 : 保留 单个 构件 中 的 优先 边 ， 并 
在 一 个 构件 的 任务 Ai 写 另 一 个 构件 的 任务 A. 读 的 变量 时 ， 增 加 从 一 条 任务 A 到 任务 A; 


















in, >, out,, out, 
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的 跨 构 件 的 边 。 

证 明 : 考虑 两 个 相 兼 容 的 构件 C 和 C;。 令 其 任务 集 上 的 优先 关系 分 别 为 <i M<, 
o> A>. 为 相应 的 输入 /输出 等 竺 依赖。 考虑 两 个 构件 任务 集 上 的 组 合 任务 图 ， 该 图 可 
通过 如 下 方式 获得 : 保留 单个 构件 的 优先 关系 ， 并 在 一 个 构件 的 任务 A 读 另 一 个 构件 的 
A 写 人 的 变量 ， 那 么 增加 从 任务 A 到 任务 A 的 跨 构 件 的 边 。 我 们 将 证 明 ， 若 该 任务 图 
包含 环 上 路 ， 则 输入 和 输出 变量 之 间 的 并 集 关 系 (>>1U >>,) 也 将 包含 环 路 ， 由 此 与 两 个 构件 
是 相 容 的 假设 产生 矛盾 。 

设 组 合 任务 图 中 有 一 个 环 路 。 这 个 环 路 的 类 型 在 任务 的 延伸 之 间 是 交 苦 的 ， 每 个 延伸 
包含 单个 构件 的 一 个 或 多 个 任务 ， 从 一 个 延伸 的 最 后 一 个 任务 到 下 一 个 延伸 的 第 一 个 任务 
A 条 跨 构 件 的 边 。 SAL, Bı), (Az, B,), =, (Az, Bi) 是 由 跨 构 件 边 的 连接 的 任务 ， 
这 些 跨 构 件 的 边 按 顺序 出 现在 环 路 内 。 对 于 每 个 ,任务 A; 和 B; 属于 不 同 的 构件 。 令 2; 
ÆA; JAHH B 读 取 的 变量 。 因 此 ，zx; 必须 为 任务 A; 所 属于 的 构件 的 输出 变量 ， 同 时 
为 任务 Bi 所 属于 的 另 一 个 构件 的 输入 变量 。 对 每 个 任务 B;， 都 存在 一 个 同一 个 构件 内 的 
任务 Aj+ti 的 环 路 的 延伸 (对 环 路 ， 定义 Ani =A). EMES Bi 属于 构件 Ci 的 情况 。 
有 Bj; 二 Aj;i1 或 B; <7 Ajai. Tj 为 构件 Ci 的 输入 变量 ， 属于 读 集 合 B;; ZXj+1 为 构件 Gi 的 
输出 变量 ， 属 于 写 集合 As. Alt, EC, 不 能 在 输入 变量 zx; 可 用 之 前 产生 输出 变量 
Tj+lo 通过 定义 等 待 依赖 Tj iT; 在 属于 构件 C: 的 任务 B; 为 对 称 的 情形 下 ， 将 得 到 
Lj+i Tj 注意 ， 在 该 论证 中 ， 任务 Apa 3 Ay 相同 ， 因此 变量 Zziti 与 变量 Tı 相同 。 这 


给 出 了 等 待 依赖 的 环 路 ， 可 在 输入 /输出 变量 序列 Tis Tz2» "s Tks XI 中 交替 使 用 >， 
或 >,。 
因此 ， 我 们 已 建立 了 存在 环 路 的 积 构件 任务 图 ， 这 意味 着 在 组 合 等 待 依赖 关系 中 存在 
一 个 环 路 ， 因 而 这 两 个 构件 是 不 相 容 的 。 a 
下 述 定义 总 结 了 并 行 组 合 操作 。 


构件 组 合 

SHE Ci =I, Os, Si» Init, Reacti ) 和 构件 Cs = (Iz, Oz, Sz, Init,, 
React: ) 为 相 容 的 同步 反应 式 构 件 。 假 设 反应 描述 React, 通过 具有 任务 集 为 .4 的 任务 
图 和 优先 关系 为 <! 使 用 局 部 变量 L 给 出 ; 反应 描述 React, 通过 具有 任务 集 为 A 的 
任务 图 和 优先 关系 为 <, 使 用 局 部 变量 L 给 出 。 则 并 行 组 合 Ci |C 是 一 个 同步 反应 式 
构件 C， 且 满足 : 

© 状态 变量 集合 为 S=S,US,. 


© 输出 变量 集合 为 O=OUO, 。 
© 输入 变量 集合 为 T= (TUI,)\0O。 
© 状态 变量 z 的 初始 化 由 Initi(zE Si) 和 Init: E S,) 给 出 。 
© 构件 C 的 反应 描述 使 用 局 部 变量 L, UL: ， 并 由 任务 图 给 出 ， 任 务 图 满足 : 
1) 任务 集 为 .4 UA. 
2) 优先 关系 是 <! 、 关 ;和 任务 对 (A, ，A:) 的 并 集 ， 且 满足 : A MA, 都 是 不 同 
构件 的 任务 ， 且 其 中 的 某 些 变量 同时 出 现在 A, 的 写 集合 和 A, 的 读 集合 中 。 








并 行 组 合 的 属性 
令 C MC 为 相 容 的 构件 。 通 过 前 面 的 定义 ， 积 构件 CG 1 C: 与 积 构件 CIC 相同 。 
因此 ， 并 行 组 合 操作 满足 交换 律 。 
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并 行 组 合 也 满足 结合 律 。 假 设 两 个 构件 C AC, 为 相 容 的 ， 它 们 的 积 构件 C |C 与 第 
三 个 构件 Cs 相 容 。 则 构件 C, ALC, 是 相 容 的 ， 构 件 Ci 与 构件 C lC 也 是 相 容 的 。 而 且 ， 
(G ICDC 5 Ci1(C;1C;) 是 相同 的 。 因 而 ， 若 想 组 合 多 个 构件 ， 则 可 先 组 合 两 个 构 
件 ， 再 将 组 合 结果 与 第 三 个 构件 组 合 ， 以 此 类 推 ， 最 终 将 得 到 与 组 合 顺序 无 关 的 相同 结 
果 。 在 某 些 步 双 中， 我 们 可 能 发 现 由 于 共同 的 输出 变量 或 循环 等 竺 依赖， 导致 构 件 之 间 
不 相 容 ， 因 而 无 法 将 所 有 构件 进行 组 合 。 但 这 个 不 相 容 的 结果 是 不 依赖 于 构件 组 合 的 
顺序 。 

如 果 两 个 构件 C 和 C; 都 为 有 限 状 态 ， 则 积 构件 C |C 也 为 有 限 状 态 。 若 C Am 个 
状态 ，Cz 有 nm, PARAS, WCC, An, Xn. 个 状态 。 例 如 ， 在 构件 Delayl 和 Delay2 的 
组 合 中 ， 每 个 构件 都 有 两 个 状态 ， 积 构件 有 4 个 状态 。 若 要 依次 组 合 构件 Delay 的 nn 个 
实例 ， 以 便 构建 一 个 构件 ， 它 在 每 个 循环 中 ， 输 出 前 二 次 循环 的 输入 值 ， 则 它 有 2" 个 状 
态 。 状 态 数 随 着 构件 数 呈 指数 增长 的 事实 有 时 称 为 状态 空间 爆炸 问题 ， 这 对 分 析 工 具 的 可 
扩展 性 方面 提出 了 挑战 。 

注意 ， 当 两 个 相 容 构件 C! 和 Cs 的 所 有 任务 都 为 确定 性 的 时 ， 积 构件 C |C 也 一 定 是 
确定 性 的 。 同 样 ， 若 两 个 相 容 构件 C 和 C; 的 所 有 任务 都 是 输入 使 能 的 ， 则 积 构件 C | C， 
也 是 输入 使 能 的 。 


2.3.4 输出 隐藏 


最 后 操作 需要 和 定义 方 框图 的 语义 来 隐藏 输出 变量 。 若 y 为 构件 C 的 输出 变量 ， 则 将 y 
隐藏 在 C 中 的 操作 记 为 C\ y， 其 含义 是 ; 给 定 一 个 构件 ， 其 行为 与 构件 C 相同 ， 但 y 是 
构件 外 部 不 可 观察 到 的 输出 。 这 可 以 通过 将 y 移 出 输出 变量 集 并 将 y 声明 为 反应 描述 中 的 
局 部 变量 来 实现 。 

再 次 观察 图 2-16 所 示 的 构件 Delay1l TER a E 
| pelav。 若 我 们 隐藏 了 中 间 变 量 poe 
temp， 则 那么 我 们 就 得 到 积 构件 Dou- Pool in 本 Aai Xa temp ， 
bleDelay， 其 状态 变量 集 为 {zi，xzz)}、 z F 
输出 变量 集 为 {out} 和 输入 变量 集 为 {in}。 
产生 构件 如 图 2-23 所 示 。 需 要 注意 的 
Æ, 构件 DoubleDelay 的 初始 状态 为 
(0，0)， 其 反应 为 : 


(0,0) % (0,0); (0,0) IT (0,1) ooh (0,1) > 1,0) 













2-23 构件 DoubleDelay 


CD do--anp; avon, an—a,p 

隐藏 操作 保存 了 构件 下 述 所 有 属 质 : 有 限 状 态 、 可 组 合 的 、 确 定性 的 、 输 入 使 能 的 和 
事件 触发 的 。 

当 我 们 想 隐 藏 多 个 输出 变量 时 ， 我 们 进行 隐藏 操作 的 顺序 并 不 重要 。 若 变量 和 y 为 
构件 C 的 两 个 输出 变量 ， 则 构件 (C\ x) \ > 和 (CA\ y) \ 工 是 完全 相同 的 ， 并且 我 们 可 利用 
C\ {zx，y} 作 为 隐藏 两 个 变量 的 缩写 。 
练习 2.15: 考虑 练习 2.7 中 的 构件 ClockedDelay。 构 件 ClockDelayComparator 定义 如 下 : 

(Comparator[out.> z]||ClockedDelay) \ æ 
描述 构件 ClockDelayComparator 的 输入 -输出 行为 。 
练习 2. 16: 考虑 定义 为 下 式 的 构件 DoubleSplitDealy 
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(SplitDelay[out  temp]||Sp1itDelay[in++ temp]) \ temp 

除了 使 用 构件 SplitDelay 的 实例 代替 构件 Delay 外 ， 该 构件 与 构件 DoubleDelay 相同 。 
列 出 “编译 的 ”构件 DoubleSplitDealy 的 版 本 ， 即 列 出 状态 、 和 输入 、 输 出 、 局 部 变量 、 
任务 和 优先 约束 。 构 件 DoubleSplitDelay 的 输入 变量 和 输出 变量 之 间 的 等 待 依赖 关系 是 
什么 ? 

练习 2. 17: 我 们 知道 练习 2.6 中 的 事件 触发 构件 SecondToMinute 中 ， 它 带 有 输入 事件 变量 second 和 
输出 事件 变量 minute， 使 得 second 每 发 生 60 WK, minute 发 生 一 次 。 现 在 假设 我 们 想 设计 一 
个 事件 触发 构件 SecondToHour， 它 具有 输入 事件 变量 second 和 输出 事件 变量 hour， 使 得 
second 每 发 生 3600 K, hour 发 生 一 次 。 请 指出 如 何 利 用 构件 SecondToMinute 的 并 行 组 
合 、 实 例 化 和 输出 隐藏 等 操作 来 构造 目标 构件 SecondToHour? 


2.4 同步 设计 

在 考虑 描述 同步 模型 中 的 某 些 设计 问题 之 前 ， 我 们 先 简要 介绍 模型 的 主要 特征 和 
假设 。 

在 经 典 的 计算 函数 模型 中 ， 构 件 读 它 的 输入 然后 计算 ， 最 终 产生 输出 。 构 件 的 预期 行 
为 描述 为 从 输入 到 输出 的 函数 。 与 之 相反 ， 反 应 式 构件 通过 输入 和 输出 以 连续 方式 与 环境 
进行 交互 。 原 则 上 ， 构 件 不 会 终止 。 这 样 的 预期 行为 可 以 通过 输出 序列 来 描述 ， 该 输出 序 
列 是 构件 响应 给 定 的 输入 序列 产生 的 。 

在 同步 反应 式 计算 中 ， 计 算 过 程 是 良 构 的 循环 序列 。 所 有 的 构件 以 及 提供 给 输入 的 
环境 对 构建 循环 的 内 容 达 成 一 致 。 事 件 触发 建 模 方法 可 用 于 描述 那些 不 一 定 在 每 一 个 循 
环 中 都 执行 ， 而 只 是 在 触发 事件 发 生 的 那些 周期 中 执行 的 构件 。 同 步 模型 的 关键 假设 是 
在 一 个 循环 中 的 所 有 任务 的 计算 和 确定 所 有 变量 值 的 所 有 任务 间 通 信 都 是 立即 局 部 发 生 
的 。 外 部 输入 在 一 个 循环 中 不 改变 ， 当 输入 确实 改变 时 ， 用 准备 处 理 新 输入 的 所 有 任务 
启动 一 个 新 的 循环 。 这 个 假设 称 为 同步 假设 。 这 个 理想 的 假设 将 使 设计 变 得 简化 和 可 
预测 。 

在 一 个 循环 中 构件 的 计算 可 分 割 为 多 个 任务 。 任 务 之 间 的 优先 约束 捕获 变量 之 间 的 
读 / 写 依赖 ， 并 导致 输入 和 输出 之 间 的 等 待 依 赖 。 构 件 组 合 时 ， 若 设计 时 可 以 验证 不 存在 
相互 循环 等 待 依赖 ， 则 可 以 确保 积 构件 的 良好 行为 执行 。 在 一 个 循环 中 ， 任 务 的 执行 顺序 
不 会 影响 最 终 反 应 。 非 确定 性 ， 也 就 是 说 ， 响 应 同一 个 输入 的 多 个 反应 ， 需 要 在 一 任务 的 
描述 中 显 式 地 进行 编码 ,不 是 交互 模型 的 产物 。 特 别 是 ， 对 于 确定 性 构件 , 行为 是 可 重复 
的 : 若 我 们 利用 同一 个 输入 序列 再 次 执行 构件 ， 那 么 我 们 将 观察 到 同样 的 输出 序列 。 这 对 
于 复杂 设计 的 调试 和 分 析 是 有 价值 的 。 

在 实现 中 ， 需要 确保 执行 可 信 地 实现 了 模型 的 同步 语义 。 例 如 ， 若 需要 时 间 上 界 来 计 
算 反 应 ， 要 求 该 时 间 上 界 小 于 输入 变化 的 最 小 延迟 ， 则 这 个 过 程 可 能 需要 构件 之 间 的 通 
信 。 第 8 章 讨论 的 实时 调度 理论 提供 了 一 种 验证 实时 性 的 方法 。 


2.4.1 同步 电路 


同步 电路 是 由 时 钟 周 期 序列 驱动 的 逻辑 门 和 存储 单元 构成 的 。 逻 辑 门 在 每 个 时 钟 周期 
内 计算 一 次 布尔 值 ， 每 个 存储 单元 从 一 个 时 钟 周期 到 下 一 个 时 钟 周期 存储 一 个 布尔 值 。 通 
过 以 层次 化 的 方式 将 构件 简单 地 组 合并 在 一 起 ,同步 电路 的 设计 提供 了 一 个 如 何 设计 复杂 
系统 的 很 好 案例 。 我 们 可 利用 3 个 基本 方 框图 来 构建 同步 电路 : 我 们 利用 非 门 (Not) 和 与 
门 (And) 作 为 最 基本 的 逻辑 门 ， 利 用 建立 置 位 复位 触发 器 模型 的 锁 存 构件 作为 最 基本 的 存 
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储 单元 。 将 这 些 方 框图 将 结合 起 来 ， 并 应 用 以 下 3 个 操作 就 可 以 获得 电路 : 并 行 组 合 、 变 
量 重 命名 和 输出 隐藏 。 





组 合 电路 

图 2-24 所 示 的 电路 图 定义 了 确定 性 的 、 可 组 合 的 同步 反应 式 构件 的 3 种 建 模 方式 ， 
非 (Not) 门 、 与 (And) 门 和 或 (Or) 门 。 在 SyncNot 
同步 电路 描述 中 ， 所 有 的 变量 都 默认 假设 in lt in out 
a ree ie 

构件 SyncNot 与 图 2-17 所 示 的 构件 in SyncAnd z 
Inverter 相同 ， 都 对 非 门 进行 建 模 ， 给 Os = out 
系统 输入 一 个 布尔 输入 变量 in， 产 生 一 个 in, in, 
布尔 输出 变量 out。 反 应 描述 设置 输出 为 SyncOr 
输入 值 的 逻辑 和 否定。 值得 注意 的 是 ， 输 出 i 
out 等 待 输入 in。 构件 SyncAnd 以 同样 的 in out 


方式 对 与 门 建 模 。 该 构件 接收 两 个 布尔 输 
和 变量 in 和 in;， 并 产生 布尔 输出 变量 
out。 输 出 设置 为 两 个 输入 变量 的 逻辑 与 ， 
并 等 待 两 个 输入 变量 。 

利用 SyncNot 门 和 Syncana 门 ， 我们 可 以 建立 所 有 的 组 合 电 路 。 例 如 ， 根 据 德 。 靡 
根 定律 ， 或 门 可 定义 为 一 个 与 门 和 3 个 非 门 的 组 合 ， 这 3 个 非 门 是 两 个 输入 和 与 门 输出 的 
否定 。 其 方 框图 如 图 2-24 所 示 。 注 意 ， 构 件 SyncNot 和 SyncaAnd 的 实例 由 相应 的 电路 
图 中 的 通用 符号 描述 。 产 生 的 构件 Syncor 有 两 个 布尔 输入 变量 in 和 in, ， 并 产生 一 个 布 
尔 输 出 out。 构 件 synco 的 局 部 变量 r, y, z 代表 连接 4 个 构件 门 的 内 部 连 线 。 构 件 
SyncOr 是 确定 性 的 和 可 组 合 的 ， 其 输出 等 待 它 的 两 个 输入 变量 。 构 件 Syncor 可 利用 实 
例 化 、 并 行 组 合 和 隐藏 操作 符 等 效 地 描述 : 


SyncNot1= SyncNot[in — in, ]Lout -~ zx], 





图 2-24 同步 非 门 、 与 门 和 或 门 


SyncNot2= SyncNotL[in — in, ]Lout -~ y], 
SyncNot3= SyncNot[Lin -~ z], 
SyncAnd1= SyncAndl[in, > «][in, — y][out + z], 
SyncOr= (SyncNot 1||SyncNot 2||SyncAnd 1||SyncNot 3) \ {x;y,z} 
时 序 电路 
组 合 的 电路 是 无 状态 的 。 为 了 对 时 序 电路 建 模 ， 需 用 一 个 可 以 存储 从 一 个 循环 到 另 一 
循环 的 状态 值 的 构件 。 为 对 单位 延迟 锁 存 器 进行 建 模 ， 图 2-25 定义 了 一 个 非 确定 性 构件 。 
锁 存 器 接收 两 个 布尔 输入 变量 set 和 reset， 并 产生 一 个 布尔 输出 out。 锁 存 器 有 一 个 布尔 
状态 ， 它 用 状态 变量 工 来 表示 。 状 态 的 初始 值 是 无 约束 的 ， 这 可 以 用 初始 化 中 的 choose 
结构 表示 。 在 每 个 循环 中 ， 锁 存 器 首先 将 其 状态 作为 输出 发 出 ， 然 后 等 待 输入 变量 值 来 计 
算 下 一 个 状态 。 为 了 这 个 目的 ， 将 反应 描述 分 为 两 个 任务 ; 任务 A 计算 输出 out， 任 务 
As 更 新 +。 状态 变量 xz 的 更 新 可 利用 有 3 个 模式 切换 的 单 模式 扩展 状态 机 来 描述 。 若 set 
的 值 为 1， 则 锁 存 器 利用 模式 切换 “set 二 1 一 xz:1” 将 其 状态 更 改 为 1; reset 的 值 为 1， 
则 锁 存 器 利用 模式 切换 “reset=1->zZz :一 0” 将 其 状态 更 改 为 0。 若 两 个 输入 变量 的 值 都 为 
1， 则 两 个 模式 切换 的 守卫 条 件 都 得 到 满足 ， 随 机 执行 其 中 的 任意 一 个 ; 因而 ， 锁 存 器 的 下 
一 个 状态 可 能 为 0 或 1。 若 两 个 输入 变量 的 值 都 为 0， 则 利用 模式 切换 “set 二 0 A reset=0” 
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32 HOF 








使 得 状态 不 改变 。 








bool x := choose {0, 1} 








A;: x, set, reset ox 


new (set = 0/\reset = 0)? 





图 2-25 同步 构件 Latch 


注意 ， 构 件 Latch 为 非 确定 性 的 、 有 限 状态 的 ， 其 输出 不 等 待 任何 一 个 输入 变量 。 锁 
存 器 在 得 知 它 的 输入 值 之 前 它 的 输出 是 有 效 的 ， 这 一 点 对 利用 逻辑 门 组 成 锁 存 器 是 至 关 重 
要 的 ， 这 个 逻辑 门 在 每 个 循环 中 (时 钟 周期 ) 都 提供 独立 于 锁 存 器 输出 的 锁 存 器 输入 。 

二 进 制 计数 器 

作为 一 个 时 序 电 路 的 例子 ， 我 们 设计 了 一 个 3 位 的 二 进 制 计数 器 。 计 数 器 有 两 个 布尔 
输入 变量 start 和 inc， 分 别 用 于 启动 和 递增 计数 器 。 计 数 器 的 取 值 范围 为 0 一 7， 并 用 3 位 
表示 。 我 们 对 初始 计数 器 值 不 做 任何 假设 。 当 输入 start 为 1 时， 计数 器 的 值 重 置 为 0， 与 
男 一 输入 inc 无 关 。 否 则 ， 当 输入 inc 为 1， 计 数 器 的 值 递增 1。 如 果 计 数 器 的 值 为 ?7， 则 
递增 计数 器 的 值 为 0。 若 在 每 个 循环 中 ， 计 数 器 将 它 的 值 作为 输出 发 出 一 一 低位 输出 变量 
为 oute ， 中 间 位 输出 变量 为 out ， 高 位 输出 变量 为 out 。 

图 2-26 描述 了 1 位 计数 器 的 一 种 可 能 的 设计 。 它 利用 一 个 构件 Latch 存储 1 位 的 状 
态 ， 使 用 两 个 与 门 、 一 个 非 门 和 一 个 或 门 实现 它 的 逻辑 。 可 以 验证 该 设计 不 存在 等 待 环 
路 ， 因 此 该 构件 是 相 容 的 。 输 出 变量 out 的 值 等 于 循环 开始 时 构件 Latch 的 状态 。 为 理 
解 该 电路 的 工作 状态 ， 让 我 们 考察 所 有 可 能 的 情形 。 








2-26 ”同步 构件 1Bitcounter 


假设 锁 存 器 的 状态 为 0( 也 就 是 说 ， 计 数 器 的 值 为 0) 输 出 变量 carry( 它 表示 计数 器 值 
中 的 溢出 ) 为 0。 局 部 变量 reset 的 值 等 于 输入 start， 局 部 变量 set 的 值 等 于 合 取 inc 和 一 
start。 观 察 到 变量 set 和 reset 的 值 不 可 能 同时 为 1。 当 start X 1 it, AA reset X1, i 
时 锁 存 器 状态 被 重 置 为 0， 当 start HOM, set 的 值 等 于 inc: 车 inc 等 于 1， 则 锁 存 器 状 
态 更 新 为 1; 否则 ， 锁 存 器 状态 仍 为 0。 

假设 锁 存 器 状态 为 1， 输入 inc 为 0。 输出 carry 的 值 为 0。 局 部 变量 reset 的 值 等 于 输 
入 变量 start 的 值 ， 局 部 变量 set 的 值 等 于 0。 当 start 为 1 时 ， 锁 存 器 状态 重 置 为 0; F 
则 ， 锁 存 器 状态 将 为 1。 

最 后 ， 假 设 锁 存 器 状态 为 1， 输入 变量 inc 为 1。 在 这 种 情况 下 ， 输 出 carry 的 值 为 1， 
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表示 溢出 。 变 量 reset 的 值 等 于 start; set 的 值 等 于 一 start。 因 而 ， 无论 start 的 值 为 什么 ， 
锁 存 器 状态 都 更 新 为 0。 


图 2-27 显示 了 以 自然 方式 连接 3 个 1 位 计数 器 来 实 in 
现 一 个 3 位 计数 器 的 方 框图 。 输 入 变量 start 是 重启 所 有 sat 于 tecomntero | 
3 个 实例 的 指令 。 输 入 变量 inc 是 对 1Bitcounter0 的 最 T 
低 有 效 位 递增 1 的 指令 。1Bitcounter0 的 输出 carry 


用 作对 存储 在 1BitCounter1 中 的 下 一 有 效 位 递增 1 的 E 

Ta. Ei AY the h a HH VE a a a A TES 。 

练习 2.18: 一 个 异 或 (Xorc) 门 有 两 个 布尔 输入 in 和 in; 以 及 一 个 
布尔 输出 out。 当 两 个 输入 中 有 一 个 为 1 时 ， 输 出 为 
1， 否 则 输出 为 0。 请 利用 与 门 、 或 门 和 非 门 等 逻辑 操 
作 的 组 合 定义 一 个 复合 构件 Syncxor 以 获得 预期 的 。 图 2-27 同步 构件 3Bitcounter 
功能 。 

练习 2. 19: 一 个 奇偶 性 电路 有 万 个 布尔 输入 变量 in in, eo in 和 一 个 布尔 输出 out。 车 有 奇数 个 输入 
变量 的 值 为 1， 则 输出 为 1， 否则 输出 为 0。 请 通过 组 合 练习 2.18 中 定义 的 构件 Syncxor 的 
实例 来 构造 计算 个 变量 的 奇偶 性 的 构件 Parity, s 

练习 2.20: 利用 与 门 、 或 门 、 非 门 和 蜡 或 门 的 组 合 设计 一 个 1 位 同步 加 法 器 构件 1Bitadder。 构 件 
1BitAdder 有 3 个 输入 变量 xz. y, carry-in 和 两 个 输出 变量 z、carry-out。 在 每 个 循环 中 ， 
通过 两 个 输出 位 z、carry-out 编码 的 值 (其 中 ，z 为 最 低 有 效 位 ) 应 该 等 于 3 个 输入 变量 的 和 。 
通过 组 合 3 个 构件 1Bitadder 的 实例 ,设计 一 个 3 位 同步 加 法 器 构件 3BitAdde， 其 输入 集 
AH Tos Tis Tes Yox Jis Yz» carry-in, 输出 变量 为 zo。、zi、z。、carry-out。 在 每 次 循环 
中 ， 由 输出 变量 zo. zi, z2, carry-out 编码 的 4 位 数 应 该 等 于 输入 变量 ro, ris x 编码 的 3 
位 数 的 和 ， 该 3 位 数 由 输入 变量 yon yis yz, carry-in 编码 得 到 。 


2.4.2 巡航 控制 系统 
我 们 利用 一 个 轿车 的 巡航 控制 系统 的 简化 设计 例子 来 阐述 自 顶 向 下 的 基于 构件 的 设计 





方法 。 
高 层 规范 
系统 的 输入 和 输出 如 图 2-28 所 示 。 司 机 利用 3 个 按钮 与 巡航 控制 系统 进行 交互 : 
一 个 按钮 用 来 控制 巡航 控制 系统 的 启动 和 停止 ; 一 个 按钮 用 于 增加 期 望 速度 ;一 个 按钮 
用 于 减 小 期 望 速度 。 这 些 用 3 个 输入 事件 变量 cruise, inc 和 dec 来 建 模 。 事 件 curise 的 
发 生 将 使 控制 在 模式 开启 和 关闭 之 间 切 换 。 当 系统 开启 时 ， 预 期 巡航 速度 应 设置 为 当前 
速度 ， 当 事件 inc 和 dec 发 生 时 ， 将 分 别 导 致 预期 巡航 速度 的 递增 和 递减 。 我 们 应 该 确保 
续航 速度 保持 在 合理 的 巡航 范围 内 ， 范围 下 限 由 变量 minspeed 给 出 ， 上 限 由 maxSpeed 
给 出 。 

巡航 控制 需要 测量 当前 速度 以 便 做 出 决策 。 这 将 通过 两 个 输入 事件 rotate 和 second 
实现 。 当 车 轮 完成 一 次 旋转 ， 与 轮轴 相关 联 的 传感器 将 发 出 输入 事件 rotate， 每 1 HRA 
统 时 钟 发 出 输入 事件 second。 因 而 ， 控 制 器 可 以 计算 每 秒 的 旋转 次 数 和 当前 速度 。 

控制 器 应 该 给 显示 屏 发 送 当 前 设置 的 信息 。 该 过 程 可 通过 输出 变量 speed 进行 建 模 ， 
该 变量 记录 当前 速度 和 curiseSpeed。 如 果 巡 航 控 制 关闭 ， 则 curiseSpeed 的 值 为 空 ， 当 其 
开启 时 ，curiseSpeed 的 值 等 于 驾驶 员 设 置 的 当前 巡航 速度 。 

最 后 ， 将 输出 变量 下 发 送 给 节气 门 控 制 系统 ， 同 时 为 了 跟踪 期 望 的 巡航 速度 该 输出 下 
与 调节 节气 门 需 要 的 力 相 一 致 以 便 控 制 当 前 的 速度 。 
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ThrottleController 


event (real)F 

















event cruise 


event inc 





CruiseController 






event (nat) cruiseSpeed 





图 2-28 巡航 控制 系统 的 输入 和 输出 
分 解 为 子 系统 
作为 系统 设计 的 下 一 步 ， 我 们 将 控制 器 分 为 3 个 子 系统 : 构件 MeasureSpeed, Æ 
于 输入 rotate 和 second 计算 当前 速度 ; 构件 Setspeed， 基 于 司机 的 输入 和 当前 速度 跟踪 
预期 的 巡航 设置 ; 构件 Controlspeed， 处 理 当 前 速度 与 预期 速度 之 间 的 差 ， 以 便 计算 
输出 力 。 这 些 子 构件 之 间 的 交互 如 图 2-29 所 示 。 构 件 ControlSpeed 的 设计 需 理 解 车 的 
动态 性 和 控制 理论 ， 第 6 章 是 关于 动态 系统 的 讨论 。 接 下 来 将 对 其 他 两 个 构件 进行 设计 。 


event cruise 
K MeasureSpeed SetSpeed pa 
w event dec 
= event inc 
pra ControlSpeed P 


event (real)F 


K 2-29 巡航 控制 系统 Cruisecontroller 的 构件 











event rotate 





nat speed event (nat) cruiseSpeed 


跟踪 速度 

构件 MeasureSpeed 的 任务 是 基于 输 
人 事件 变量 rotate 和 second 输出 汽车 的 当前 
速度 。 该 构件 如 图 ane 所 示 。 该 构件 用 一 个 if rotate? then count := count + 1; 
状态 变量 count 来 为 事件 变量 roate 的 出 现 | if second? then{s := round-of f (Axcount) ; count := 0} 
次 数 计 数 ， 事 件 变 量 roate 因 事 件 seccond 最 
近 的 发 生 而 发 生 。count 的 初始 值 为 0。 状 态 
变量 ;记录 当前 速度 : 它 的 初始 值 为 0, 在 图 2-30 构件 Measurespeed 
事件 seccond 发 生 的 每 个 循环 中 ，count 的 当前 值 都 用 于 更 新 变量 so 

更 准确 地 讲 ， 更 新 状态 的 规则 是 : A roate 事件 发 生 ， 则 构件 递增 count 的 值 ， 如 果 
second 事件 发 生 ， 则 count 的 当前 值 表示 在 1 秒 的 时 间 间 隔 内 车 轮 的 旋转 次 数 。 为 计算 速 


event rotate event second 


nat count := 0; s := 0 
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度 ， 车 轮 的 旋转 次 数 乘 以 一 个 常数 &， 该 常数 取决 于 轮子 的 周 长 ， 并 且 四 含 五 人 为 一 个 整 
数 (函数 roundoff 返回 与 该 参数 最 接近 的 整数 ) 。 在 该 情形 下 ，count 的 值 重 置 为 0。 值 
得 注意 的 是 ， 若 两 个 输入 事件 都 未 发 生 ， 状 态 将 保持 不 变 。 若 两 个 事件 都 发 生 ， 变 量 的 
count 值 先 加 1， 然 后 将 它 用 于 计算 状态 变量 *， 最 后 重 置 为 0。 

构件 有 一 个 输出 变量 speed: 在 每 个 循环 中 ， 将 输出 变量 设置 为 变量 s 的 更 新 值 。 因 
此 ， 这 是 锁 存 器 输出 。 显 示 器 和 速度 控制 器 可 在 任何 循环 中 访问 这 个 输出 变量 。 构 件 
MeasureSpeed 是 确定 性 的 和 事件 触发 的 。 

跟踪 巡航 设置 

现 考查 图 2-31 所 示 的 构件 SetSpeed。 输 出 变量 curiseSpeed 为 事件 变量 ， 或 者 为 空 
〈 当 控制 器 关闭 时 ) 或 表示 当前 预期 速度 。 该 构件 维护 两 个 状态 变量 : 布尔 变量 on 记录 了 
控制 器 是 否 开启 ; s 为 当前 期 望 速度 。 


event cruise event dec 


nat s:=minSpeed; bool on:=0 





if cruise? then {on := 一 0D; 
if (speed <minSpeed) then s :=minSpeed 
else if (speed > maxSpeed) then s := maxSpeed 


elses := speed} 
else if [dec?/\on/ (s>minSpeed) ] then s :=s-1 
else if [inc?/\onA (s <maxSpeed) ] thens :=s+1; 
+f on then cruiseSpeed := s 


event (nat) cruiseSpeed 





图 2-31 构件 SetSpeed 


因为 该 构件 有 3 个 输入 事件 ， 每 个 事件 的 值 都 可 能 发 生 或 未 发 生 ， 所 以 我 们 应 处 理 它 
们 所 有 的 组 合 。 在 我 们 的 设计 中 ， 通 过 考虑 这 些 事件 的 优先 顺序 来 避免 冲突 ， 其 顺序 为 : 
首先 cruise、 其 次 dec、 最 后 inc。 如 果 司 机 同时 按 下 两 个 或 多 个 按钮 ， 那 么 这 将 等 效 于 按 
下 优先 权 最 高 的 单个 按钮 。 或 者 ， 我 们 也 可 以 假设 ,在 任何 时 刻 ， 最 多 只 能 有 一 个 输入 事 
件 发 生 。 
构件 根据 如 下 规则 更 新 状态 变量 ， 当 事件 cruise 出 现时 ， 切 换 为 变量 on。 更 新 预期 速 
KE s 的 规则 为 : 若 事 件 cruise 发 生 ， 将 变量 s 设置 为 当前 速度 ， 假 设 其 合法 的 取 值 范围 为 
[min Speed, max Speed]; 否则 ， 若 事件 dec 发 生 ， 若 变量 s 的 值 大 于 最 大 阔 值 且 控 制 
器 开启 ， 则 递减 变量 s。 最 后 ， 若 事件 inc 发 生 ， 如 果 变 量 s 的 值 小 于 最 小 阔 值 且 控 制 器 开 
启 ， 则 递增 变量 *。 若 不 符合 任何 一 条 规则 ， 则 预期 速度 不 改变 。 在 更 新 状态 后 ， 构 件 基 
于 以 下 规则 决定 其 输出 : A on 的 值 更 新 为 1， 则 输出 变量 curiseSpeed 的 值 设 置 为 变量 s 
的 更 新 值 ， 和 否则 它 为 空 。 
注意 ， 构 件 SetSpeed 是 确定 性 的 和 时 间 和 触发 的 ， 它 的 输出 变量 等 待 所 有 4 个 输入 
变量 。 
练习 2.21: 考虑 图 2-31 所 示 的 构件 SetSpeed 的 设计 。 假 设 我 们 想 对 司机 增加 另 一 输入 控制 pause, 
它 有 如 下 预期 行为 : 当 巡 航 控 制 器 为 开启 状态 时 ， 如 果 司 机 按 下 pause， 则 控制 临时 关闭 。 
在 按 下 pause 的 暂停 状态 下 ， 输 出 curiseSpeed 应 为 空 ， 事 件 inc 和 dec 也 可 以 忽略 。 在 暂停 
状态 下 再 次 按 下 pause， 将 重新 开启 巡航 控制 器 的 操作 ， 恢 复 暂停 时 的 预期 速度 。 在 暂停 状 
态 按 下 eruise， 应 将 系统 切换 为 关闭 状态 ， 当 控制 器 为 关闭 状态 时 ， 按 下 pause 将 没有 任何 
作用 。 添 加 输入 事件 pause， 重 新 设计 构件 Setspeed 来 满足 上 述 规 定 。 
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2.4.3 同步 网 络 


在 同步 网 络 中 ， 通 信 发 生 在 时 隙 序列 中 。 网 络 拓扑 结构 决定 了 网 络 节点 之 间 的 单 跳 有 
向 连通 性 。 在 每 个 时 隙 中 ， 节 点 向 出 边 连接 它 的 所 有 邻居 发 送 消息 ， 同 时 接收 入 边 连接 它 
的 所 有 邻居 节点 发 送 的 消息 。 我 们 可 用 以 将 这 样 的 网 络 建 模 为 同步 反应 式 构件 。 

网 络 节点 建 模 

单个 节点 的 设计 应 独立 于 网 络 拓扑 ， 这 样 节点 的 实例 可 以 用 不 同 的 连接 方式 建立 不 同 
的 网 络 。 基 于 这 个 目的 ， 每 个 网 络 节点 都 建 模 为 构件 NetwkNode， 该 构件 的 输入 变量 为 
in、 输 出 变量 为 out， 如 图 2-32 所 示 。 由 于 在 每 一 次 循环 中 节点 可 能 发 送 或 不 发 送 消 息 ， 
所 以 如 果 在 每 次 循环 中 节点 发 出 的 消息 类 型 为 msg， 那 么 输出 变量 out 的 类 型 就 为 event 
(msg)。 输 入 变量 in 的 类 型 为 set (msg)， 该 类 型 的 值 为 类 型 msg 的 消息 集合 。 我 们 想 要 


设计 这 样 一 个 构件 ， 使 得 构件 中 不 存在 输入 变量 ‘ae 
in 和 输出 变量 out 之 间 的 等 待 依赖 在 每 次 循环 a em ont eg es 
中 ,构件 将 根据 它 的 状态 决定 它 的 输出 消息 ， 然 ET | 


后 更 新 状态 来 响应 输入 ， 该 输入 包含 它 接收 的 消 图 2-32 同步 网 络 节点 NetwkNode 的 语义 
息 集 合 。 

构件 NetwkNode 的 描述 用 标识 符 myId 来 参数 化 。 为 建立 一 个 预期 构件 网 络 ， 我 们 
根据 需要 创建 构件 NetwkNode 的 多 个 实例 。 每 个 实例 都 有 唯一 的 标识 符 ， 标 识 符 用 于 实 
例 化 myIid， 并 重 命名 输入 和 输出 变量 以 避免 命名 冲突 。 


对 互 连 建 模 
通信 网 络 可 以 建 模 为 复合 构件 Network。 对 

于 构件 NetwkNode 的 每 一 个 实例 ， 它 都 有 一 个 ©) (3) 
作为 一 个 具体 的 例子 ， 考 虑 图 2-33 所 示 的 通 (1) ty 


信 网 络 ， 它 具有 4 个 节点 1、3、5 和 8。 网 络 图 的 
边 表示 图 的 连通 性 : 例如 ， 节 点 3 有 两 个 输出 边 ， 
它们 分 别 连接 节点 5 和 8; 有 两 个 输入 边 ， 它 们 分 别 连 接 节点 5 和 1。 在 每 次 循环 中 ， 若 
节点 3 选择 发 送 消息 ， 则 它 将 消息 传送 给 节点 5 和 8， 它 接收 的 消息 集 包含 这 次 循环 中 节 
点 1 和 5 发 送 的 消息 。 

图 2-34 显示 了 一 个 构件 的 组 成 。 构 件 NetwkNode 的 4 个 实例 对 应 于 4 个 节点 。 该 网 
络 通 过 构件 Network 来 描述 ， 该 构件 具有 event (msg) 类 型 的 输入 变量 outi, outs, 
outs 、outs， 每 个 输入 变量 都 连接 到 相应 节点 构件 的 输出 变量 。 构 件 的 输出 变量 为 in 
in;、ins 、ins ， 每 个 变量 都 为 set (msg) 类 型 ， 并 连接 到 相应 节点 构件 的 输入 。 在 每 次 循 
环 中 ， 网 络 从 它 的 所 有 输入 变量 out, 读 取消 息 ， 对 每 个 节点 n， 它 收集 节点 n 的 传人 链接 
上 的 消息 ， 并 通过 更 新 输出 变量 in, 传 递 相 应 的 信息 集合 。 图 2-34 中 的 反应 描述 首先 将 所 
有 的 输出 集合 in 设置 为 空 集 ， 然 后 它 一 个 个 地 检查 所 有 的 输入 事件 ， 将 其 添加 到 合适 的 
输出 集合 中 。 例 如 ， 若 输入 消息 outs 存 在 ， 因 为 节点 3 有 到 节点 5 和 8 的 传 出 链接 ， 所 以 
消息 outs 将 加 入 输出 集合 ins 和 ins 中 。 

更 一 般 地 ， 令 P 为 节点 标识 符 集 合 ， 令 ECPXP 表示 节点 间 的 有 向 单 跳 连接 边 。 对 
每 个 nEP， 通 过 实例 化 myID 为 nn 并 把 每 一 个 输入 和 输出 变量 x 重 命名 为 xv,， 使 得 Net- 
wkNode, 成 为 NetwkNode 的 一 个 实例 。 构 件 Networkp,zs 是 一 个 确定 性 的 复合 构件 ， 其 输 


图 2-33 具有 4 个 节点 的 通信 网 络 的 例子 
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人 变量 集 为 {out; |n EP}、 输 出 变量 集 为 {in, |n€E P}。 在 每 次 循环 中 ， 对 每 个 nEP， 输 出 
变量 in, 等 于 包含 输入 变量 out。 的 集合 ， 使 得 : 1) 网 络 连 接 的 集合 玉 包 含 一 条 从 节点 m 到 
节点 WI; DFF out, RÆ. HEE nE P 和 互联 网 络 构件 Networkp,:， 预 期 系统 是 
所 有 构件 NetwkNode, 的 并 行 组 合 。 


event (msg) out, 





set (msg) in, 
ins =; in, =Ø; in: =Ø; ing =; 
if outs? then 
{Insert (out, in,); Insert (out, in,) }; 


event (msg) out, 


set (msg) in, j 
if out,? then Insert (out,, in,); 


event (msg) ou +f out? then 


{Insert (out, in,); Insert (out, ing) }; 


set (msg) in, if out,? then Insert (out, in,); 


event (msg) out, 


set (msg) in, 


图 2-34 同步 网 络 构件 Network 


领导 选举 

为 描述 同步 网 络 的 算法 设计 ， 我们 先 考虑 一 个 领导 选举 的 经 典 协 调 问 题 ， 节点 交换 信 
息 以 确定 一 个 唯一 的 领导 。 更 确切 地 讲 ， 假设 每 个 节点 构件 都 有 一 个 输出 变量 status, HHE 
取 值 范围 由 枚 举 类 型 {unkown，leader，follower}) 给 出 。 节 点 交换 更 新 status 的 信 
息 ， 使 得 1) 每 个 构件 最 终 设置 status 输出 为 leader 或 follower; 2) 只 有 一 个 构件 改变 
status 输出 值 为 leader。 

由 于 每 个 节点 都 有 一 个 唯一 的 标识 符 ， 所 以 很 自然 地 利用 这 些 标 识 符 来 选择 领导 ， 也 
就 说 ， 具 有 最 高 值 的 节点 就 是 领导 。 刚 开始 时 ， 节 点 不 知道 哪些 其 他 节点 也 是 网 络 的 一 部 
分 ， 交换 消息 的 目的 就 是 为 了 标识 这 个 具有 最 大 值 的 标识 符 。 我 们 想 让 算法 工作 在 尽 可 能 
多 的 网 络 上 。 考 虑 图 2-35 所 示 的 算法 ， 它 依赖 于 以 下 两 个 假设 。 

1) 网 络 图 是 强 连通 的 : 对 每 个 节点 对 mx 和 nnn， 都 存在 一 条 从 m 到 x 的 有 向 路 径 。 

2) 每 个 节点 都 知道 网 络 中 节点 总 数 的 上 界 N。 

为 了 传递 节点 之 间 的 信息 ， 第 一 个 条 件 是 必要 ;， 第 二 个 条 件 则 用 于 保证 可 终止 性 。 

图 2-35 所 示 的 算法 称 为 泛 洪 算 法 ， 节 点 维护 一 个 状态 变量 id， 它 等 于 目前 最 大 的 标 
识 符 。 起 初 ，id 的 值 等 于 节点 自己 的 唯一 标识 符 。 在 每 个 循环 中 ， 节 点 向 它 的 邻居 输出 这 
个 标识 符 ， 若 它 接收 到 任何 比 当前 记 值 高 的 标识 符 ， 它 就 更 新 这 个 值 。 反 应 描述 分 为 两 个 
任务 : 任务 A 计算 输出 变量 out 并 更 新 状态 变量 +， 任务 A; 更 新 状态 变量 id 并 计算 输出 sta- 
tus。 需 要 注意 的 是 ， 第 一 个 任务 不 需要 输入 ， 因 此 只 有 输出 变量 status 等 待 输入 变量 in, 

若 强 连 通 网 络 中 的 节点 总 数 为 N， 则 在 每 对 节点 间 有 一 条 至 多 N 一 1 跳 的 路 径 。 因 
此 ， 在 六 一 1 个 循环 后 ， 每 个 节点 都 能 确保 其 标识 符 可 向 其 余 每 个 节点 都 传播 。 更 准确 地 
讲 ， 若 一 个 节点 的 唯一 标识 符 为 2， 且 若 从 该 节点 到 其 他 节点 m 的 最 短路 径 的 长 度 为 j， 
则 j 个 循环 后 ， 节 点 m 的 id 变量 将 为 nn 或 更 高 。 因 此 ， 在 N 一 1 个 循环 后 ， 每 个 节点 的 id 
变量 的 值 将 等 于 网 络 中 最 高 的 标识 符 。 此 时 ， 每 个 变量 都 可 决定 : A id 变量 的 值 等 于 它 
的 原始 标识 符 ， 则 它 就 是 领导 (leader) ， 否 则 它 是 追随 者 (follower) 。 
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38 G2* 


set (nat) nm | 


nat id := myId;r := 1 











A,: r, idr, out 


if (r< N)then 
{out := id; r:=r + 1}; 


Az: r, id, in! id, status 


if (in= Ø) then id := max (id, max in); 


if (r<N) then status := unknown 
else if (id=myID) then status := leader 
else status := follower 


event (nat) out {unknown, leader, follower}status 


2-35 用 于 同步 领导 选举 的 构件 SyncLENode 


考虑 图 2-34 所 示 的 一 个 4 个 节点 的 网 络 ， 满 足 每 个 构件 都 是 图 2-35 所 示 的 领导 选举 
构件 SyncLENode 的 实例 化 版 本 。 下 面 为 其 执行 过 程 : 

D 在 第 一 个 循环 中 ， 每 个 节点 1、3、5 和 8 都 输出 它们 的 初始 标识 符 。 节 点 1 接收 
{5，8} 并 将 其 id 更 新 为 8; 节点 3 接收 {1，5} 并 将 其 id 更 新 为 5; 节点 5 接收 {3}》， 其 id 
变量 仍 为 5; 节点 8 接收 {3}， 其 id 变量 仍 为 8。 所 有 节点 都 将 其 输出 变量 status 设置 为 值 
unknown. 

2) 在 第 三 个 循环 中 ， 节 点 1 和 8 输出 8， 节 点 3 和 5 输出 5。 因 此 ， 节 点 3 的 id 变量 
更 新 为 8， 其 他 节点 不 改变 它们 各 自 的 id 变量。 所 有 的 节点 再 次 将 输出 变量 status 设置 为 
值 unknown。 

3 在 第 三 个 循环 中 ， 节 点 1、3 和 8 输出 8; 节点 5 输出 5。 节 点 5 更 新 其 id 变量 为 
8。 人 循环 计数 cround-counting 变量 r 的 更 新 值 为 N= 三 4; 因此 ， 所 有 节点 根据 各 自 id 变量 
的 更 新 值 确定 : 节点 8 将 其 输出 status 设置 为 值 leader， 其 余 节 点 设置 其 输出 status 为 
值 follower. 

注意 ， 若 网 络 图 的 直径 为 D， 即 每 两 节点 之 间 的 路 径 长 度 都 不 大 于 D， 则 在 品 个 循环 
后 ， 每 个 节点 的 变量 id 的 值 将 等 于 网 络 图 中 的 最 大 标识 符 。D 的 一 个 上 界 为 N 一 1, {A DA 
以 比 这 个 上 界 小 很 多 。 若 节点 预先 知道 直径 D， 则 节点 可 以 在 DD 个 循环 后 确定 最 大 标识 符 。 
练习 2. 22: 考虑 同步 网 络 图 中 的 领导 选举 算法 (如 图 2-35 所 示 )。 若 id 的 值 在 给 定 循 环 中 不 改变 ， 就 没 

有 必要 将 其 传递 给 下 一 个 循环 (也 就 是 说 ， 在 下 一 个 循环 中 输出 out 为 空 )。 这 可 减少 发 送 消 
息 的 数量 。 请 修改 构件 syncLENode 的 描述 来 实现 上 述 改变 。 
练习 2.23': 在 强 连通 网 络 图 中 ， 对 每 一 个 网 络 节点 n 令 卫 , 为 最 小 的 整数 ) ， 使 得 对 每 个 网 络 节点 om, 
最 多 存在 j 条 从 m A n 的 有 向 路 径 。 例 如 ， 车 网 络 为 完全 图 (对 每 一 对 节点 m 和 nn， 都 存在 
一 条 从 m 到 nn 的 链 路 )， 则 对 每 个 节点 n DRET 1; 若 网 络 图 是 用 一 个 单 循环 连接 所 有 
节点 的 单 向 环 ， 则 对 每 个 节点 ，D, 都 等 于 N 一 1， 其 中 N 为 节点 总 数 。 在 图 2-33 所 示 的 网 
Alta, D5=3, D3=2, D1=2 和 D8 二 2。 为 同步 网 络 设计 一 个 算法 ， 使 得 每 一 个 节点 n 
都 能 够 计算 马 ,的 值 。 如 领导 选举 算法 的 例子 ,假设 每 个 节点 都 有 一 个 唯一 的 标识 符 ， 它 知 
道 节点 总 数目 N。 算 法 适用 于 强 连通 网 络 。 请 解释 你 的 算法 是 如 何 工作 的 。 


参考 文献 说 明 
术语 反应 式 计算 不 同 于 传统 的 函数 计算 ， 在 文献 [HP85] 中 有 介绍 。 从 20 世纪 80 年 
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代 以 来 ,就 有 大 量 关 于 同步 反应 式 计算 的 形式 化 模型 的 介绍 和 研究 。 典 型 例子 包括 ES- 
TERILLBG88]、LUSTRE[CPHP87] 以 及 STATECHARTS[Har87]。 所 有 这 些 文献 的 研 
究 成 果 都 应 用 在 工业 级 的 编程 环境 中 。 文 献 [BCE 十 03] 对 同步 语言 的 进行 了 综述 。 

在 并 发 理论 中 ， 前 人 研究 了 大 量 类 型 的 形式 化 模型 ， 包 括 反应 式 模型 和 具有 可 选择 构 
件 间 交互 的 并 发 计算 模型 。 形 式 化 方法 的 例子 包括 文献 CSPLHoa85]、CCSLMil89]、TU- 
NITY[CM88]、 数 据 流 网 络 [Kah74，LP95]、1/O 自动 化 [LYN96]、TLA[Lam02] 和 BIP 
[LSif13]。 

本 章 研 究 的 同步 反应 式 构件 模型 是 (Reactive Modules》LAH99b] 的 简化 版 本 。 该 模型 
遵循 文献 LAH99aj] 中 的 概述 。 领 导 选 举 算法 的 描述 基于 [Lyn96] 的 研究 ， 它 包含 了 对 同步 
网 络 中 大 型 分 布 式 协调 问题 的 严格 的 算法 描述 。 
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Principles of Cyber-Physical Systems 


安全 性 需求 





反应 式 构件 通过 输入 和 输出 与 环境 进行 交互 。 构 件 的 需求 描述 了 响应 输入 的 一 个 可 接受 
或 者 期 望 的 输出 序列 。 高 保障 系统 的 设计 要 求 需 求 应 该 明确 地 描述 并 尽 可 能 精确 。 需 求 可 以 
分 为 两 大 类 : 安全 性 需求 断言 “ 坏 的 事情 不 会 发 生 ”; 活性 需求 断言 “好 的 事情 最 终 会 发 
Æ”. 例如， 在 2.4. 3 节 的 领导 人 选举 问题 中 ， 主 要 的 安全 性 需求 是 ， 没 有 两 个 节点 声明 它 
们 是 领导 ; 主要 的 活性 需求 是 ， 某 个 节点 应 该 最 终 声 明 它 自身 是 领导 ， 并 且 其 他 节点 应 该 最 
终 声 明 它们 自身 是 追随 者 。 为 领导 人 选举 问题 给 定 一 个 特定 的 解决 方案 ， 例 如 ， 如 图 2-35 中 
描述 的 方案 ， 验 证 问题 旨 在 检查 给 定 的 实现 方案 是 否 满足 这 些 需求 。 对 于 安全 性 需求 ， 能 够 
通过 使 用 有 限 的 执行 来 分 析 不 符合 要 求 的 行为 ， 进 而 证 明 是 否 违背 了 需求 。 典 型 地 ,这 些 
需求 通过 系统 和 监视 器 的 组 合 来 获取 ， 监 视 器 观察 系统 的 输入 和 输出 ， 当 它 检测 到 不 符合 
要 求 的 行为 时 ， 它 就 进入 错误 状态 。 然 后 ， 安 全 性 验证 问题 可 以 简化 为 : 检查 是 否 存在 一 
个 使 得 监视 器 进入 错误 状态 的 系统 执行 。 在 本 章 中 ,我 们 首先 研究 如 何 使 用 可 达 性 问题 对 
安全 性 需求 进行 形式 化 ， 然 后 ， 针 对 安全 性 需求 ， 探 索 建立 系统 正确 性 的 验证 技术 。 


3.1 安全 性 规约 


3.1.1 迁移 系统 的 不 变量 


系统 的 安全 性 需求 将 它 的 状态 分 为 安全 的 和 不 安全 的 两 类 ， 并 且 断 言 在 系统 执行 过 程 
中 不 会 遇 到 不 安全 的 状态 。 由 于 这 样 的 需求 概念 和 建立 一 个 满足 此 类 需求 的 正确 系统 的 工 
具 并 不 明确 地 依赖 于 反应 式 构件 之 间 交 互 的 同步 特性 ， 所 以 接 下 来 我 们 将 在 迁移 系统 更 一 
般 的 情况 下 研究 它们 。 

迁移 系统 

迁移 系统 通过 使 用 变量 来 描述 ， 变 量 的 值 描述 系统 的 可 能 状态 。 初 始 化 描述 每 个 系统 变 
量 的 初始 值 。 系 统 的 迁移 描述 状态 是 如 何 演进 的 ， 并 且 它 们 常常 通过 使 用 能 够 更 新 状态 变量 
的 赋值 和 条 件 语 句 序列 来 说 明 ， 可 能 还 使 用 额外 的 局 部 变量 。 类 似 地 ， 根 据 同步 反应 式 构件 
的 定义 ， 使 用 Init 来 表示 初始 化 的 语法 表示 ， 使 用 相关 联 的 语义 [LInit] 来 表示 对 应 的 初始 状 
态 集合 。 同 样 ，Trans 表示 迁移 的 语法 描述 ， 相 关联 的 语义 LTransj] 是 状态 对 的 集合 。 








迁移 系统 
一 个 迁移 系统 工 有 : 
e 类 型 状态 变量 的 有 限 集合 S， 它 定义 状态 的 集合 Qs. 
o 初始 化 Init， 它 定义 初始 状态 集合 LInitJSQ。 
o 迁移 描述 Trans， 它 定义 状态 之 间 迁 移 的 集合 LTrans]SQsxQs。 








作为 迁移 系统 的 同步 反应 式 构件 
对 于 每 一 个 同步 反应 式 构 件 C=(1, O, S, Init, React), 有 一 个 自然 相关 联 的 迁移 
系统 : 状态 变量 集合 是 S， 初 始 化 是 Init， 迁 移 描述 是 Trans, Trans 是 从 反应 描述 React 
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中 获得 的 ， 通 过 声明 输入 和 输出 变量 为 局 部 变量 ， 这 里 为 输入 变量 分 配 非 确定 性 的 选择 


值 。 因 此 ， 迁 移 的 集合 包含 状态 对 (s，/) ， 使 得 st 是 某 个 输入 ; 和 某 个 输出 o。 的 反应 。 
例如 ， 考 虑 图 2-5 所 示 的 构件 Triggeredcopy。 在 对 应 的 迁移 系统 中 ， 状 态 变 量 的 
集合 是 {z}， 初 始 化 是 通过 赋值 x 一 0 给 定 的。 迁移 描述 是 通过 声明 变量 in 和 out 为 局 部 
变量 并 使 用 choose 结构 让 输入 取 每 个 可 能 的 值 来 获得 的 : 
local event(bool)in, out; 
in?=choose{0, 1, |}; 
if in? then{out! in; z‘*=z+1}. 
对 任意 给 定 的 状态 ， 如 果 输 入 事件 发 生 ， IBA z 的 值 将 递增 ; 如 果 输 入 事件 没有 发 
生 ， 那 么 z 的 值 保持 不 变 。 因 此 ， 对 于 每 一 个 自然 数 n， 对 应 的 迁移 系统 有 迁移 (n，n) 和 
(ny nr 
作为 迁移 系统 的 程序 
顺序 程序 可 以 建 模 为 迁移 系统 。 考 虑 计算 两 个 自然 数 的 最 大 公约 数 (GCD) 的 经 典 欧 几 
里 得 算法 。 给 定 两 个 输入 数字 m 和 nn， 该 算法 使 用 两 个 变量 rA y 来 计算 它们 的 GCD, 
这 两 个 变量 的 类 型 是 nat。 程 序 执行 以 下 的 代码 : 
-na ee ne}, 
while(z>0/ y>0) 
if(a>y)then r*=2z—y else y *—y—z; 
if(z=0)then x =y. 


当 程序 终止 时 ， 变 量 工 包含 期 望 的 答案 。 


该 程序 可 以 建 模 为 一 个 扩展 状态 机 ， 如 (x>0Ay>0)—> 
图 3-1 所 示 。 在 初始 模式 下 表示 为 loop, K if(x>y)thenx:=x-yelsey:=y-x 
要 条 件 (z>0Ay 二 0) 为 真 ， 系 统 重复 递减 x Q 
Ry; 当 条 件 为 假 时 ， 它 切换 到 终止 模式 DE men Goer Geo) 
stop， 并 根据 需要 修改 变量 r 的 值 ， 使 它 包 ~Ge>0Ay>0)— 
含 期 望 的 答案 。 需 要 注意 的 是 ， 模 式 对 应 于 Er oe 
程序 位 置 ， 这 样 一 个 通过 扩展 状态 机 表示 的 图 3-1 欧 几 里 得 的 最 大 公约 数 程序 
程序 有 时 称 为 程序 的 控制 流 图 。 


我 们 可 以 使 用 程序 的 扩展 状态 机 表示 将 迁移 系统 与 程序 关联 起 来 。 对 于 给 定 的 输入 数 
m 和 nn， 求 GCD 程序 的 行为 通过 迁移 系统 GcD(m，nn) 来 获取 ， 它 的 描述 通过 数 m M n K 
参数 化 。 状 态 变量 是 nat 类 型 的 变量 x 和 y， 模 式 包括 {1oop，stop}。 唯 一 的 初始 状态 是 
(m，n，1loop)。 考 虑 (j，k，1loop) 形 式 的 的 状态 *。 如 果 j>k>0, MARA s 有 一 个 到 状 
态 (j 一 上 上 ，1oop) 的 迁移 ; MR k>j>0, 那么 状态 ;有 一 个 到 状态 (j，k 一 j，1loop) 的 迁 
Bs 如 果 j 二 0， 那 么 状态 s 有 一 个 到 状态 (&，k，stop) 的 迁移 ; WR j>0 H k=0, MA 
状态 s 有 一 个 到 状态 0 ，&，stop) 的 迁移 。 在 模式 为 stop 的 状态 上 没有 向 外 迁移 。 

可 达 状 态 

迁移 系统 从 初始 状态 开始 执行 ， 然 后 根据 Trans 描述 的 迁移 前 进 。 在 执行 过 程 中 遇 到 
的 状态 是 系统 的 可 达 状 态 。 


迁移 系统 的 可 达 状 态 
迁移 系统 的 执行 包含 一 个 形 如 s。，s, ，…s 的 有 限 序列 ， 使 得 : 
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1) + O<j<k, 每 个 Sj 都 是 T 的 状态 。 

2) so 是 工 的 初始 状态 ， 且 

3) OF 0Sj<k, (sj-15 s; Fé T WEB. 

对 于 这 样 的 执行 ， 状 态 s 称 为 了 的 可 达 状 态 。 


例如 ， 对 于 m=6 和 一 4， 迁 移 系 统 G6cD(6，4) 有 如 下 的 执行 : 
(6,4,loop) 一 (2,4,1oop) 一 (2,2,1oop) — (2,0,loop) — (2,0,stop) 

所 有 的 可 达 状 态 都 出 现在 这 次 执行 中 。 

不 变量 

对 于 迁移 系统 TT 属性 是 关于 了 的 状态 变量 的 布尔 值 表达 式 。 如 果 根 据 g 的 值 对 所 有 
变量 赋值 时 ， 属 性 p 等 于 1， 那么 工 的 状态 9 满足 属性 pgp。 满足 属性 op 所 有 状态 的 集合 表 
示 为 上 Lp] 。 

我 们 再 看 一 看 计算 两 个 自然 数 的 最 大 公约 数 的 程序 。 考 虑 迁移 系统 GcD(m，n) (如 
图 3-1 所 示 ) 的 以 下 属性 : 








Pea : GCACMm,n) = gcd(z,y) 
其 中 ，gcad 代表 一 个 数学 函数 ， 它 返回 它 的 两 个 参数 的 最 大 公约 数 。 该 表达 式 精 确 地 表达 
了 函数 执行 的 那些 状态 ， 在 这 些 状态 下 gcd MM x Aly 的 值 等 于 参数 mx AnI GCD 程 
序 的 输入 ) 。 

如 果 迁 移 系 统 的 所 有 可 达 状 态 都 满足 某 个 属性 ， 那 么 这 个 属性 称 为 迁移 系统 的 不 变 
量 。 对 于 这 里 的 例子 GCD 程序 ， 属 性 gow 确实 是 迁移 系统 GCD(mx，n) 的 不 变量 。 这 个 不 
变量 捕获 程序 的 核心 多 辑 : 在 程序 的 执行 过 程 中 ， 妈 使 改变 了 状态 变量 x 和 yy 的 值 ， 它们 
的 gcd 也 保持 不 变 。 因 为 gcd(p，0) 等 于 p， 所 以 对 于 每 个 自然 数 p， 它 遵循 这 样 一 个 规 
E: 当 变 量 工 的 值 为 0 时 ，gca(x，y) 就 等 于 y。 根 据 对 称 的 观点 ， 当 变量 y 的 值 为 0 时 ， 
gcd(zx，y) 就 等 于 x。 这 表明 ， 当 系统 通过 切换 到 模式 stop 而 终止 时 ， 变 量 z 的 更 新 值 
就 是 正确 的 答案 。 因 此 ， 蕴 含 式 : 

(mode = stop) > (gcd(m,n) = x) 
是 迁移 系统 GcD(m， nn) 的 一 个 不 变量 。 


迁移 系统 的 不 变量 








对 于 迁移 系统 工 ， 如果 工 的 每 个 可 达 状 态 都 满足 属性 p， 那 么 工 的 属性 p 是 迁移 
系统 工 的 不 变量 。 





如 果 我 们 用 Reach(T) 表 示 迁 移 系统 工 的 可 达 状 态 集合 ， 那 么 当 集 合 包含 关 系 Reach DE 
上 Lo 成 立时 ， 属 性 p 是 不 变量 。 不 变量 属性 的 双重 概念 是 可 达 属 性 的 概念 : 如 果 迁 移 系 统 
工 的 某 些 可 达 状 态 满足 属性 ,那么 工 的 属性 p 是 可 达 的 。 换 名 话说 ， 当 交集 Reach(T) AN 
上 Lo] 是 非 空 集合 时 ， 属 性 8 是 可 达 的 。 从 定义 可 知 ， 它 满足 以 下 性 质 : 
迁移 系统 下 的 属性 六 是 不 变量 ， 当 且 仅 当 它 的 否定 属性 一 p 是 不 可 达 的 。 
另 一 个 例子 是 2. 4. 2 节 中 的 巡航 控制 器 ， 考 虑 以 下 属性 : 
Prange :MinSpeed < SetSpeed. s < maxSpeed 
它 表 示 保 证 构件 SetSpeed 的 状态 变量 s Æ minSpeed fl maxSpeed AHN B (É 2 M. 
这 个 属性 是 系统 的 不 变量 。 这 是 因为 ， 无 论 什 么 时 候 构件 Setspeed 更 新 它 的 状态 变量 
s， 进 行 初始 化 来 响应 输入 事件 cruise， 进 行 递增 来 响应 输入 事件 inc， 或 者 进行 递减 来 响 
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应 输入 事件 dec 时 ， 它 进行 检查 来 保证 更 新 的 值 在 LminSspeed，maxSpeedj] 区 间 中 。 

不 变量 验证 问题 是 这 样 的 : 给 定 一 个 迁移 系统 工 和 属性 pp， 检查 p 是 否 是 系统 T 的 不 
变量 。 如 果 它 不 是 不 变量 ,那么 一 定 存在 某 一 个 状态 *， 使 得 状态 s 是 可 达 的 ， 并 且 违反 
了 属性 P。 在 这 种 情况 下 ， 出 于 调试 目的 ， 分 析 技 术 应 该 产生 一 个 到 达 s 的 工 的 执行 。 这 
样 的 执行 称 为 反例 ， 它 声明 属性 p 是 不 变量 ， 等 价 地 ， 它 也 被 为 证 据 ， 它 声明 属性 一 g 是 
可 达 的 。 
练习 3. 1: 给 定 两 个 自然 数 加 和 nn， 考虑 程序 Mult, EA 

两 个 变量 x 和 y( 类 型 为 nat) 计 算 两 个 输入 数 的 乘 


Bl. WA 3-2 所 示 。 描 述 迁移 系统 muit(m, n), B 
它 捕 获 程序 对 输入 数 m 和 的 行为 ， 即 描述 状态 、 natx=my=0 (er (x=0)? 
初始 状态 和 迁移 。 证明 : 当 变 量 zx 的 值 为 0 时 ， S 


变量 y HELD BEE Ae m Mn 的 乘积 ， 也 就 - 
是 说 ， 以 下 属性 是 这 个 迁移 系统 的 不 变量 图 3-2 乘法 程序 


(mode = stop) > (y = m+n) 


3.1.2 需求 在 系统 设计 中 的 作用 


为 了 阐述 嵌入 式 控制 器 设计 中 作为 安全 性 需求 的 不 变量 的 作用 ， 我 们 考察 铁路 交通 信 
号 灯 控 制 (玩具 ) 系 统 。 

铁路 控制 器 的 规约 

图 3-3 所 示 的 两 个 圆 形 铁轨 ， 一 个 用 于 火车 顺 时 针 行走 ， 另 一 个 用 于 火车 逆 时 针 行 
走 。 在 圆 形 轨道 的 某 一 位 置 有 一 座 桥 ， 桥 的 宽度 不 足以 满足 安放 两 个 轨道 。 两 个 轨道 需要 
在 桥 上 合并 ， 为 了 控制 桥 的 访问 量 ， 在 桥 两 端的 每 个 人 口 都 有 一 个 信号 灯 。 如 果 西 边 人 口 的 
信号 灯 是 绿色 ， 那么 允许 有 一 辆 从 西边 驶 来 的 火车 进入 桥 上 ; 如 果 信号 灯 是 红色 ， 那 么 该 广 
向 驶 来 的 火车 必须 等 待 。 在 桥 东边 人 口 的 信号 灯 ， 以 同样 的 方式 控制 从 东边 驶 来 的 火车 。 


(x > 0) {x :=x-1l; y :=y +n} 





3-3 铁路 控制 器 的 例子 


我 们 用 图 3-4 所 示 的 构件 Train 对 火车 建 模 。 火 车 的 状态 是 通过 枚 举 变量 mode 来 捕 
获 的 ， 它 表示 火车 从 桥 上 离开 、 等 待 信号 或 者 在 桥 上 。 我 们 用 非 确定 性 对 火车 将 在 一 个 未 
知 的 时 间 段 离开 桥 的 假设 建 模 : 当 火 车 离开 时 ， 或 者 状态 保持 不 变 ， 或 者 火车 发 出 一 个 
arrive 值 的 输出 事件 并 且 更 新 为 等 待 状态 wait。 如 果 火 车 正在 等 待 ， 它 检查 信号 ; 如 
果 信 号 是 红色 ， 那 么 火车 保持 等 待 ;， 如 果 信 号 是 绿色 ， 那 么 火车 驶 入 桥 上 。 火 车 可 以 在 桥 
上 待 任意 次 循环 。 当 火车 从 桥 上 驶 出 时 ， 它 发 出 一 个 leave 值 的 输出 事件 ， 并 且 状 态 更 
新 为 away。 

火车 构件 的 反应 可 以 很 自然 地 使 用 扩展 状态 机 来 描述 ， 该 状态 机 有 对 应 于 away, wait 
和 bridge 的 3 个 模式 。 但 是 ， 为 了 将 更 新 描述 为 一 个 单独 的 任务 ， 应 该 创建 一 个 输出 事件 
关于 输入 信和 号 的 等 待 依赖 。 为 了 避免 这 种 情况 发 生 ， 图 3-4 所 示 的 构件 将 反应 描述 分 割 为 
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两 个 任务 ， 第 一 个 任务 A 计算 输出 变量 out 的 值 ， 这 不 依赖 于 输入 变量 signal。 任 务 A 
是 非 确 定性 的 : 当 模式 是 away 时 ， 输 出 为 空 或 者 输出 为 值 arrive; MRA wait 时 ， 
输出 为 空 ; 当 模式 为 bridge 时 ,或 者 输出 为 空 或 者 输出 为 值 leave。 该 描述 由 图 3-4 中 的 
单 模式 扩展 状态 机 来 捕获 。 我 们 知道 对 于 模式 切换 ， 没 有 守卫 条 件 意 味 着 模式 切换 总 是 使 
能 的 (也 就 是 说 ， 在 默认 情况 下 ， 和 守卫 条 件 为 常量 1， 它 在 所 有 状态 下 都 是 可 满足 的 ) 。 没 
有 相关 的 更 新 意味 着 状态 变量 不 改变 ， 并 且 没 有 事件 输出 。 第 二 个 任务 A; 根据 任务 A 计 
算 的 输出 和 输入 signal 的 值 来 更 新 模式 。 在 away 模式 ， 当 守卫 条 件 out?arrive 成 立时 ， 
模式 更 新 为 wait。 自 循环 上 的 条 件 else 是 否定 条 件 一 (out?arrive) 的 简写 。 一 般 而 
言 ， 当 没有 满足 这 个 模式 切换 的 守卫 条 件 时 ， 就 满足 该 模式 的 自 循环 上 的 守卫 条 件 else. 
模式 wait 和 bridge 的 模式 切换 是 类 似 的 。 









{green, red}signal 


{away, wait, bridge}mode := away 


Ai: modei out A,: mode, out, signal mode 
1 2 gna 

mode = away 

—out! arrive 


se out? arrive (voit) 
D ade 


mode = bridge 
—out! leave 





else 


event ({arrive, leave}) out 


图 3-4 非 确定 性 反应 式 构件 的 火车 模型 


因为 只 有 两 列 火车 ， 一 列 按 顺 时 针 行 走 ， 另 一 列 按 道 时针 行 走 ， 所 以 我 们 创建 了 火车 
构件 的 两 个 实例 ， 分 别 为 Trainw 和 Traing。 

我 们 需要 设计 一 个 确定 性 的 控制 器 ， 它 确保 在 任何 时 间 两 列 火车 之 间 不 会 发 生 冲 突 ， 
至 多 有 一 列 火车 在 桥 上 。 更 具体 地 说 ， 我 们 希望 设计 一 个 确定 性 的 同步 反应 式 构件 Con- 
troller,， 它 具有 输入 事件 变量 outw 和 outs 以 及 输出 变 
量 signalw 和 signalz。 当 组 合 火 车 的 模型 时 ， 我们 得 到 了 
组 合 系统 : 

RailRoadSystem = Controller||Trainw|| Trains 
如 图 3-5 所 示 。 注 意 ， 不 考虑 控制 器 的 等 待 依赖 ， 在 这 3 
个 构件 中 的 等 待 依赖 没有 循环 ， 因 此 ， 以 上 组 合 定 义 是 良 
构 的 。 图 3-5 ”铁路 控制 器 的 组 合 系统 

设计 一 个 控制 器 使 得 属性 

TrainSafety: 一 (modew = bridge 人 moder = bridge) 
是 RailRoadSystem 的 不 变量 。 这 里 ， 状 态 变 量 modew 和 modes 是 火车 构件 的 两 个 实 
例 的 状态 变量 。 
铁路 控制 器 设计 的 第 一 次 尝试 
图 3-6 展示 了 铁路 控制 器 设计 的 第 一 次 尝试 。 控 制 器 Controllerl 有 两 个 状态 变量 


out, 










Controller 


out, 


signal, 


安全 性 需 夹 45 





west 和 east， 分 别 对 应 于 两 个 输出 信号 signaly 和 signal: 的 状态 。 在 每 一 轮 执 行 时 ， 输 出 
变量 设置 为 对 应 状态 变量 的 值 。 最 初 ， 两 个 信号 都 是 绿色 。 无 论 何 时 ， 只 要 有 一 列 火车 靠 
近 桥 对 面 的 入 口 ， 其 中 一 个 信号 就 设置 为 红色 ; 无 论 何 时 ， 只 要 火车 从 桥 上 驶 出 ， 信 号 就 
设置 回 绿色 。 如 果 在 同一 轮 内 两 列 火车 都 靠近 桥 ， 那么 只 有 西边 的 信号 变 为 红色 ， 优 先 考 
虑 从 东边 驶 来 的 火车 通行 。 将 更 新 拆 分 为 3 个 任务 : 任务 Ai 和 A, 不 等 待 其 他 的 输入 就 输 
出 各 自 的 信号 值 ， 然 后 ， 任 务 A; 根据 输入 事件 更 新 状态 变量 。 





event ({arrive, leave}) out, event ({arrive, leave}out, 


{green, red}west:= green; east := green 





A,: west signal, A,: east signal, 
signal,,:= west signal, := east 


A;: west, east, Outs, OUt! east, west 


if out,? leave then west := green; 

if out,? leave then east := green; 

if out,? arrive then west := red 
else if out,? arrive then east := red 


{green, red}signal, {green, red}signal, 


图 3-6 铁路 控制 器 设计 的 第 一 次 尝试 
但 是 ， 产 生 的 铁路 系统 


RailRoadSysteml = Controlleril| Trainyw [Trains 

不 能 满足 希望 的 不 变量 Trainsafety。 这 可 以 用 图 3-7 所 示 的 反例 来 证 明 ， 它 会 导致 两 
列 火车 都 在 桥 上 的 状态 。 如 果 两 列 火车 同时 靠近 桥 ， 那 么 允许 东边 的 火车 进入 桥 ， 西 边 的 
信号 为 红色 ， 东 边 的 信号 为 绿色 。 当 东边 的 火车 从 桥 上 驶 出 来 时 ， 西 边 的 信号 变 为 绿色 ， 
允许 西边 的 火车 进入 桥 上 。 但 是 ， 东 边 的 信号 仍然 是 绿色 。 因 此 ， 如 果 东 边 的 火车 在 西边 
的 火车 离开 桥 前 又 返回 来 了 ， 那 么 西边 的 信号 将 变 为 红色 ， 同 时 允许 东边 的 火车 到 桥 上 ， 
这 会 致使 违反 安全 性 需求 。 

west | cast | mode, | mode, | signaly | signal, | ouy | ous | 

|green|green| away | away | | TT 

| [| | | S green | green | arrive] arrive| 


[red [green] waite [wae] | | | | 
red 


EER 
[areen 
Ta 





图 3-7 违反 TrainSafety 的 RailRoadSysteml 的 执行 


铁路 控制 器 设计 的 第 二 次 尝试 

图 3-8 展示 了 控制 器 设计 的 另 一 种 尝试 。 除 了 信号 的 状态 变量 east 和 west 外 ， 控 制 
器 Controller2 还 维护 布尔 状态 变量 nearw 和 nears 来 记录 各 列 火车 是 否 需 要 使 用 桥 。 最 
初 ，nearw 为 0。 当 西边 的 火车 到 达 桥 的 附近 时 ， 它 的 值 更 新 为 1; 当 西 边 的 火车 离开 桥 
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时 ， 它 的 值 重 置 为 0。 可 以 观察 到 当 nearw 为 0 时， 状态 modew 是 away。 同 样 ， 变 量 
nearg 记 录 东 边 火 车 的 状态 。 


event ({arrive, leave}) out, event ({arrive, leave}) out, 





{green, red} west := red; east := red 
bool neary := 0; near, := 0 
A,: west +> signal, A,: east + signal, 
signal, := east 


A;; west, east, outs, OUt, near,, Neary 
+ east, west, near p, near, 
if out,? arrive then near, := 1; 
if out,? leave then near, := 0; 
if outy? arrive then near, := l; 
if out,? leave then neary := 0; 
if ~ near; then east := red 
else if west = red then east := green; 
if `> near, then west := red 
else if east = red then west := green; 


{green, red} signal, {green, red} signal; 


图 3-8 解决 铁路 问题 的 安全 控制 器 


默认 情况 下 ， 控 制 器 Controller2 通过 将 两 个 信号 保持 为 红色 来 安全 运转 。 最 初 ， 
信号 的 状态 变量 east 和 west 是 红色 。 当 火车 离开 时 (用 对 应 的 near 变量 表示 )， 对 应 的 信 
号 变量 设置 为 红色 。 当 东边 的 火车 接近 时 ， 如 果 西 边 的 信号 是 红色 ， 那 么 东边 的 信号 变 为 
绿色 。 考 虑 当 两 个 信号 为 红色 且 两 列 火车 发 出 arrive 的 情况 。 那 么 两 个 near 变量 都 设 
置 为 1。 在 这 种 情况 下 ， 东 边 的 火车 优先 ， 变量 east 变 为 绿色 ， 这 会 阻止 west 的 更 新 ， 
仅 当 east 的 更 新 值 为 红色 时 ，west 才 变 为 绿色 。 
对 于 组 合 系统 
RailRoadSystem2 = Controller2|Trainw||Traing 
属性 TrainSafety 确实 是 期 望 的 不 变量 。 
练习 3.2: 组 合 的 系统 RailRoadSysteml 有 4 个 状态 变量 : east 和 west 及 modew 和 modes east 和 west 分 
别 可 以 有 两 个 值 ，modew 和 modes 分 别 可 以 有 3 个 值 。 因 此 ， 组 合 系 统 RailRoadSysteml 有 
36 个 状态 。 这 36 个 状态 中 ， 有 多 少 个 状态 是 可 达 的 ? 
练习 3.3: 控制 器 Controller2 的 反应 描述 包括 3 个 任务 ， 如 图 3-8 所 示 。 将 任务 As 拆 分 为 4 个 任务 ， 
每 个 任务 可 以 写 状 态 变量 east、west、nearw 和 nears 中 的 一 个 。 每 个 任务 应 该 用 它 的 读 集合 、 
写 集合 和 更 新 代码 以 及 必要 的 优先 约束 来 描述 。 修 改 后 的 描述 应 该 与 原始 的 描述 有 相同 的 反 
应 集合 。 这 个 拆 分 是 否 影响 输出 /输入 的 等 待 依赖 ? 如 果 没 有 ， 与 原始 的 描述 相 比 ， 修 改 后 的 
描述 的 潜在 优点 或 者 缺点 是 什么 ? 


3.1.3 安全 监控 器 


对 于 上 述 的 铁路 交叉 路 口 的 例子 ， 假 如 我 们 还 有 一 个 “公平 性 ”(fairness) 需 求 ， 即 
如 果 一 列 火 车 到 达 桥 头 并 且 等 待 它 的 信号 变 为 绿色 ， 另 一 列 火 车 不 应 该 重复 允许 进入 桥 。 
更 具体 地 说 ， 当 一 列 火 车 正在 红色 信号 灯 的 情况 下 等 待 时 ， 另 一 列 火 车 不 应 该 有 离开 桥 两 
次 的 情况 。 这 是 对 铁路 系统 运行 过 程 中 的 输入 和 输出 序列 的 一 个 明确 需求 ， 但 是 不 能 直接 
将 它 定义 为 不 变量 。 然 而 ， 如 果 我 们 增加 一 个 新 的 构件 WestFairMonitor， 那 么 就 可 以 
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将 它 表 示 为 一 个 不 变量 ， 如 图 3-9 所 示 。 

该 监控 器 可 以 用 一 个 带 有 4 个 可 能 的 模式 的 
扩展 状态 机 来 描述 。 模 式 的 初始 值 是 0。 当 西边 
的 火车 到 达 时 ， 模 式 变 为 1。 如果 东边 的 火车 离 
开 桥 ， 那 么 模式 变 为 2; 如果 东边 的 火车 再 次 离 
开 桥 ， 那 么 模式 变 为 3。 在 模式 1 和 2, WR 
边 的 信号 变 为 绿色 ， 那 么 模式 重 置 为 0。 如果 存 
在 这 样 一 种 执行 情况 ， 即 监控 器 的 模式 更 新 为 3， 
那么 它 证 明 违 反 了 西边 火车 期 望 的 公平 性 需求 。 
监控 器 的 模式 3 标记 为 监控 器 的 接受 模式 (这 个 类 
似 于 形式 化 语言 理论 中 自动 机 的 最 终 状 态 )。 到 达 
这 个 接受 模式 的 执行 对 应 于 期 望 的 安全 性 需求 的 反例 。 为 了 检查 是 否 存 在 违反 需求 的 情况 ， 
我 们 可 以 确定 属性 WestFairMonitor. mode = 3 在 组 合 系 统 RailRoadSysten || 
WestFairMonitor 中 是 否 是 可 达 的 。 为 了 保证 东边 火车 的 公平 性 ,我们 可 以 将 系统 与 一 
个 监控 器 的 对 称 版 本 组 合 起 来 , 这 可 以 通过 重新 命名 WestFairMonitor 的 输入 变量 来 
定义 。 

这 些 监控 器 的 定义 总 结 如 下 。 

安全 监控 器 

带 有 输入 变量 工 和 输出 变量 O 的 反应 式 构件 C 的 安全 监控 器 包括 一 个 同步 反应 式 
构件 M， 使 得 : 

e M 的 输入 变量 集合 是 变量 TUO 的 子 集 。 

© M 的 输出 变量 集合 是 变量 TUO 的 交 并 集 。 

e M 的 反应 描述 是 通过 扩展 状态 机 ， 以 及 声明 为 接受 模式 的 子 集 下 给 出 的 。 

如 果 属 性 M. mode 了 下 是 组 合 系统 CIM 的 不 变量 ， 则 构件 C 满足 监控 器 规约 。 


监控 器 M 的 输入 变量 是 构件 C 的 输入 /输出 变量 的 需求 意味 着 M 可 以 根据 C 与 其 他 
构件 的 交互 来 观察 C 的 行为 。M 的 输出 变量 既 不 是 C 的 输入 也 不 是 C 的 输出 的 需求 保证 
C 的 行为 不 会 被 监控 器 M 修改 ， 同 时 它 与 MARA. 我们 设计 了 监控 器 ， 以 便当 观察 到 的 
输入 序列 和 相应 的 输出 违反 了 期 望 的 安全 性 需求 时 ， 它 进入 集合 下 中 的 错误 模式 。 

不 是 所 有 的 需求 都 可 以 表示 为 安全 监控 器 。 对 于 铁路 交叉 口 的 例子 来 说 ， 考 虑 控制 
器 总 是 保持 两 个 交通 灯 都 是 红色 的 情况 。 这 样 的 控制 器 满足 不 变量 TrainSafety 以 及 
3-9 的 安全 监控 器 所 表示 的 需求 。 为 了 排除 这 种 通过 不 尝试 做 任何 好 的 事情 来 避免 坏 
的 情况 的 解决 方案 ,我 们 需要 提出 其 他 的 需求 ， 例 如 ,， “如 果 两 列 火车 都 在 等 待 ， 那 么 
控制 器 必须 允许 某 一 列 火 车 进入 桥 。” 这 样 的 需求 称 为 响应 需求 。 在 这 个 需求 中 ,我 们 
还 没有 断言 火车 必须 等 待 的 循环 数 的 边界 。 因 此 ， 在 有 限 的 运行 中 ， 两 列 火车 都 在 等 
待 ， 比 如 等 待 10 个 循环 ， 执 行 的 循环 不 能 认为 是 违反 响应 需求 的 依据 。 事 实 上 ， 假 设 
可 能 有 一 种 控制 器 的 正确 实现 ， 它 处 理 请 求 的 速度 很 慢 ， 需 要 11 个 循环 将 信号 变 绿色 。 
通常 没有 有 限 的 执行 可 以 证 明 真 的 违反 了 响应 需求 。 这 不 是 安全 性 需求 ， 因 此 不 能 使 用 
监控 器 和 不 变量 来 表示 。 如 果 我 们 改变 需求 为 有 界 响 应 需求 ， 如 “如 果 两 列 火车 都 在 等 
待 并 且 两 个 信号 都 是 红色 ， 那 么 控制 器 必须 在 下 一 个 循环 中 将 其 中 一 个 信号 变 为 绿色 ”， 
它 能 够 通过 安全 监控 器 来 获取 。 在 第 5 章 中 ,我 们 将 研究 响应 的 规约 和 分 析 以 及 其 他 形 












else 
out,? arrive 








out, 


peewee xP 
signal, = green 
; out,? leave 
signal, = green 


@ QD atse 
out,? leave 
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练习 3. 4: 考虑 一 个 带 有 类 型 int 的 输出 变量 z 的 构件 C。 设 计 一 个 安全 监控 器 来 获得 需求 ， 该 需求 是 
构件 C 输出 的 严格 递增 的 值 序列 ( 即 ， 每 个 循环 中 的 输出 应 该 严格 大 于 前 一 个 循环 中 的 输出 )。 

练习 3.5: 第 二 次 尝试 设计 的 铁路 控制 器 是 否 满足 由 监控 器 WestFairMonitor 获得 的 公平 性 需求 ? B, 
属性 WestFairMonitor. mode 天 3 是 组 合 系统 RailRoadSystem2 ||WestFairMonitor 的 
一 个 不 变量 吗 ? 如 果 不 是 ， 说 明 一 个 反例 执行 。 


3.2 验证 不 变量 


在 不 变量 验证 问题 中 ,我 们 给 出 了 迁移 系统 和 属性 yg 检查 yg 是 否 是 了 的 不 变量 。 
WR 9 不 是 了 的 不 变量 ， 我 们 应 该 输出 一 个 反例 来 证 明 状态 违反 了 属性 的 可 达 性 。 我 们 首 
先 描述 一 种 建立 不 变量 的 通用 证 明 方法 ， 然 后 考虑 开发 自动 化 工具 来 解决 不 变量 验证 问题 
的 挑战 。 


3.2.1 证 明 不 变量 
归纳 不 变量 
考虑 迁移 系统 T 和 属性 。 如 果 我 们 能 够 确定 在 最 初 属性 p 成 立 并 在 每 一 次 迁移 时 保 
持 不 变 ， 那 么 根据 数学 归纳 法 原理 ， 它 应 该 在 每 一 次 执行 时 遇 到 的 每 一 个 状态 都 成 立 ， 因 
此 它 应 该 是 工 的 一 个 不 变量 。 证 明 属 性 最 初 成 立 相 当 于 确定 : 
每 个 初始 状态 都 满足 po 
证 明 每 个 迁移 量 保 持 属性 相当 于 : 
如 果 状 态 s 满足 p， 并 且 (s, 1) 是 本 的 一 个 迁移 ， 那 么 状态 1 满足 g。 
注意 这 两 个 条 件 与 归纳 的 经 典 证 明 的 相似 性 。 为 了 证 明 属 性 对 于 所 有 自然 数 n 都 能 成 
立 ， 我 们 首先 证 明 属 性 对 0( 这 个 称 为 基本 情况 ) 能 够 成 立 ， 然 后 假设 属性 对 于 数 & 能 够 成 
立 ， 我 们 证 明 属 性 也 能 对 & 十 1( 这 个 称 为 归纳 情况 ) 成 立 。 对 于 迁移 系统 的 可 达 状 态 的 属 
性 ， 基 本 情况 对 应 于 证 明 对 于 初始 状态 的 属性 ; 假设 属性 对 任意 的 状态 s 能 够 成 立 ， 归 纳 
情况 对 应 于 证 明 属 性 对 于 由 状态 s 开始 的 迁移 所 到 达 的 状态 上 能 够 成 立 。 
如 果 系 统 属 性 在 最 初 能 够 成 立 ， 并 且 通 过 迁移 关系 该 属性 也 能 够 保持 ， 我 们 就 把 该 属 
性 称 为 归纳 不 变量 。 





归纳 不 变量 
迁移 系统 工 的 属性 p 是 工 的 归纳 不 变量 ， 如 果 : 
1) 每 个 初始 状态 s 满足 p， 且 
2) 如 果 状 态 ; 满足 p， 且 (s, 力 是 一 个 迁移 ， 那 么 状态 t 也 满足 p。 








让 我 们 考虑 图 3-1 所 示 的 程序 GCD。 对 于 迁移 系统 G6cD(m，n)， 考 虑 由 gcd(m, n)= 
gcd(z，y) 给 定 的 属性 prs。 为 了 证 明 这 是 一 个 归纳 不 变量 ， 让 我 们 首先 考虑 对 应 于 初始 
化 的 需求 。 在 这 种 情况 下 ， 只 有 一 个 初始 状态 *， 其 中 s(e)=m 和 s(y) 二 n， 并且 很 清楚 
地 看 到 这 个 初始 状态 满足 这 个 属性 。 现 在 让 我 们 关注 归纳 情况 。 考 虑 它 满足 期 望 属 性 
Pea HJARA so S s(x) =a Fls(y)=b. MHI. ged(m, n)=gedla, ODRE. WR 
s(mode)=stop, BARA s 没有 迁移 。 现 在 假设 s(mode)= loop, FF ARAB 
GCD(m, n) WEB (s, t). A CUM MR MWKA t 满足 属性 pon， 只 需要 证 明 gcd(t(z)， 
t(y)) 二 gcdl(a,， 5)。 首 先 ， 让 我 们 考虑 当 a 二 5 二 0 时 的 情况 。 然 后 程序 将 工 减 去 y， 在 这 
种 情况 下 ，t(x) 二 a 一 6，t(y)= 二 56。 所 以 我 们 需要 证 明 gca(a 一 6, b)=gedla, b). BH 
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式 遵 循 基本 的 算术 属性 : 当 a 二 6 时, a Mb 的 任意 约 数 必须 也 是 a 一 65 的 约 数 ; a Ma—b 
的 任意 约 数 必须 也 是 5 的 约 数 。 在 这 种 情况 下 ， 当 ab Ab Ht, tr) =a Mt(y)=b— 
a， 并 且 通 过 一 个 对 称 参 数 gcd(a，b 一 a) 二 gcd(a，5)。 在 这 种 情况 下 ， 当 a 二 0 或 者 6 二 
0 时， 程序 切换 到 stop 模式 。 在 这 种 情况 下 ， 要 么 a 二 0 H it(x)==a Atl(y)=b, B4Aa= 
0 H tz) 二 6 且 1(y) 二 6。 在 这 两 种 情况 下 ， 证明 gcal), t(y))=gedla, b). 

对 于 2.4.2 节 中 的 巡航 控制 例子 ， 属性 minspeed 二 SetSpeed.s 生 maxSpeed 是 一 
个 归纳 不 变量 : 它 在 初始 状态 时 成 立 ， 并 且 无 论 什么 时 候 有 一 个 迁移 (s，t)， 它 在 状态 t 
成 立 ， 因 为 构件 SetSpeed 在 没有 检查 边界 时 。 绝 不 会 更 新 状态 变量 s 的 值 。 

强化 不 变量 A 

为 了 说 明 属 性 可 能 是 不 变量 但 不 是 归纳 不 变量 ， 让 我 们 考虑 迁移 系统 IncDec(m), 
它 通 过 自然 数 mx 参数 化 ， 如 图 3-10 所 示 。 系 统 使 用 两 个 不 变量 zx 和 y， 它们 都 是 int 类 
型 。 最 初 ，z 王 0， 且 y= 二 mm， 并 且 对 于 每 个 迁移 ， 程 序 递 增 变 量 z， 并 且 只 要 t 的 值 不 超 
过 m 就 递减 变量 y。 


(x<m)— 
{x:=x + ly:=y- 1} 


intx:=0;y:=m 





3-10 ”迁移 系统 IncDec(m) 


考察 属性 ge: 0 三 x 三 m， 它 表明 变量 z 的 值 总 是 在 0 到 m 的 范围 内 。 让 我 们 检查 属 
性 w 是 否 是 迁移 系统 IncDec(m) 的 归纳 不 变量 。 在 IncDec(m) 的 唯一 初始 状态 下 ，z 
的 值 是 0， 因 此 属性 p 最 初 成 立 。IncDec(m) 的 状态 是 整数 变量 x Aly 的 值 ， 因 此 是 一 
个 整 型 对 ,将 z 的 值 放 在 前 面 。 考 虑 任意 状态 s= la, b), RMK, WERA s W 
足 属性 gp:， 且 (s, DÆ IncDec(m) 的 迁移 ， 那么 状态 上 也 满足 pz。 假设 状态 s 满足 属性 
gro M, OSSM, WMR a 二 m， 那 么 在 从 状态 s 开始 的 迁移 中 ， 程 序 递 增 x 和 并 递减 y， 
因此 更 新 后 的 状态 1 是 (a 十 1，b 一 1)。 在 这 种 情况 下 ， 我 们 得 出 0<a 十 1<m， 因 此 状态 
继续 满足 属性 gp;。 如 果 条 件 a<m 不 成 立 ， 那么 执行 更 新 代码 不 会 改变 状态 ， 因 此 属性 p 
继续 成 立 。 因 此 ， 属 性 w 是 迁移 系统 IncDec(m) 的 一 个 归纳 不 变量 。 

现在 让 我 们 检查 属性 p: OS ym 是 否 是 迁移 系统 IncDec(m) 的 归纳 不 变量 。 属 性 
gy 在 初始 状态 (0，zmx) 成 立 。 考 虑 IncDec(m) 的 任意 状态 s=(a, b), WIRIKA s 的 唯一 
假设 是 它 满足 g,， 即 ，0 志 56m， 那 么 我 们 可 以 得 出 在 程序 的 一 个 迁移 后 ，y 的 值 仍然 在 
WELO, mAB? 答案 是 否定 的 。 特 别 地 ， 状 态 (0，0) 满 足 p,， 从 状态 (0，0) 执 行 一 个 
迁移 得 到 状态 (1 ， 一 1)， 它 违反 了 po REAR, 属性 p, 不 是 迁移 系统 IncDec(m) MHA 
纳 不 变量 。 

但 是 ， 值 得 注意 的 是 ， 属性 o, 是 IncDec(m) 的 一 个 不 变量 : 迁移 系统 IncDec(m) 
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的 可 达 状 态 是 (0, md, (1, m—1), =, (m, 0), MARRI EJIE po DRE, 
虽然 属性 p 是 系统 的 一 个 不 变量 ,但 是 它 没有 强化 到 可 以 归纳 。 属 性 的 归纳 强化 (induc- 
tive strengthening) 是 9,,: 

0<ZymA z+y=m 

属性 poia T p: 如 果 一 个 状态 满足 属性 gp.,， 那 么 显然 它 也 满足 pro RHE pw 在 初 
始 状 态 (0，m) 成 立 。 现 在 考虑 状态 s 二 (a,，5)， 它 满足 属性 g,,， 也 就 是 说 ,假设 4 十 b= 二 mm 
和 O<b<m, WRAL a 二 m 不 成 立 ， 那 么 执行 更 新 代码 不 会 改变 状态 ， 因 此 属性 .继续 
成 立 。 假 设 a 二 m， 那 么 有 一 个 从 状态 s 到 状态 t= 二 (a 十 1，5 一 1) 的 迁移 。 因 为 atb=m 和 
a<m, PURINA LH b>0. EFA 0<46 一 1 二 m， 也 符合 (a 十 1) 十 (6 一 1) 二 mw。 由 此 
可 得 ， 状 态 上 满足 属性 = 。 因 此 ， 属 性 gp,, 是 迁移 系统 IncDec(m) 的 一 个 归纳 不 变量 。 

直观 地 ， 因 为 当 条 件 <m 成 立时 程序 递减 y， 所 以 它 不 可 能 通过 它 的 迁移 说 明 属性 
p 是 保持 的 ， 因 为 这 个 属性 在 断言 y 值 的 边界 时 不 考虑 工 的 值 。 强 化 属性 获取 了 两 个 
变量 的 值 之 间 的 相关 关系 ， 并 证 明 是 归纳 的 。 

图 3-10 也 显示 系统 的 状态 和 迁移 ， 它 有 利于 理解 可 达 状 态 、 不 变量 和 归纳 不 变量 的 
概念 。 系 统 的 可 达 状 态 是 连接 点 (0，m) 和 (mx，0) 的 线段 上 的 状态 。 只 要 属性 包含 这 个 线 
Be, CEMEDER., Ak, OSa<m, 0S ySm, et y=m M r>) 等 属性 都 是 不 变量 ， 
但 是 属性 x 二 m 不 是 不 变量 。 一 个 归纳 不 变量 是 任意 的 状态 集 ， 它 包含 了 可 达 的 线段 ， 并 
且 没 有 从 它 的 内 部 状态 到 外 部 状态 边界 的 迁移 。 这 些 归 纳 不 变量 的 例子 是 KKM, r> 
0. rm, ySm 和 z 十 y 委 双 。 不 是 归纳 不 变量 的 属性 例子 包括 y 宇 0 和 O<y<m AK 
M。 给 定 属 性 PP， 它 的 归纳 强化 是 一 个 归纳 属性 ， 该 属性 是 o 的 子 集 。 这 样 的 强化 不 需要 
是 唯一 的 : 例如 ， 当 on, ERE p, 的 归纳 强化 时 ， 它 就 是 属性 O<Sy<mAarty>m,. 

建立 不 变量 的 证 明 规 则 

归纳 强化 的 方法 是 建立 不 变量 的 通用 的 和 有 效 的 技术 手段 。 





不 变量 的 证 明 规 则 
为 了 建立 属性 p 是 迁移 系统 了 的 不 变量 ,需要 找到 属性 y 使 得 : 


1) 属性 y 是 系统 T 的 归纳 不 变量 。 
2) 属性 yy 蕴含 了 属性 gp( 即 满足 属性 y 的 状态 一 定 满足 属性 gq)。 


如 果 属 性 y 是 归纳 不 变量 ,那么 了 的 所 有 可 达 状 态 必定 满足 y。 如 果 y 蕴含 p， 那 么 
满足 属性 y 的 每 个 状态 必须 也 满足 属性 gp。 如 果 它 能 满足 以 上 这 两 个 假设 ,那么 属性 g 是 
系统 了 的 不 变量 。 因 此 ， 以 上 的 证 明 规 则 是 可 靠 的 ， 也 就 是 说 ， 它 是 建立 不 变量 的 正确 
方法 。 

从 理论 的 角度 来 看 ， 证 明 规 则 是 完备 的 。 它 意味 着 ， 如 果 属 性 gp 确实 是 不 变量 ， 那 么 
确实 存在 一 个 蕴含 的 归纳 属性 y， 因 此 证 明 规 则 总 是 能 够 用 于 建立 期 望 的 不 变量 。 特 别 
地 ， 令 Yu 是 只 在 系统 工 的 这 些 状 态 是 可 达 的 时 成 立 的 公式 。 显 然 ， 如 果 属 性 gp 是 不 变 
量 ， 那 么 它 在 所 有 可 达 状 态 中 成 立 ， 因 此 属性 ys 蕴含 属性 p。 精 确 地 获取 可 达 状 态 的 属 
性 pan EHAR: 初始 状态 是 可 达 的 ， 并 且 从 一 个 可 达 状 态 执行 一 次 迁移 到 达 另 一 个 可 达 
状态 。 如 果 描 写 公式 的 断言 语言 有 足够 的 表达 能 力 来 描述 可 达 状 态 的 集合 ， 那 么 我 们 知道 
证 明 规 则 给 出 了 完备 的 方法 。 

在 实践 中 ， 为 了 以 严格 的 方式 证 明 系统 的 不 变量 ， 用 户 必 须 识别 归纳 强化 。 为 了 确定 
确实 是 归纳 的 且 蕴 含 属性 pg， 用 户 可 以 使 用 “ 纸 和 笔 ” 证 明 或 者 使 用 自动 化 定理 证 明 器 
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来 创建 形式 化 证 明 。 识 别 这 样 的 归纳 强化 需求 专业 知识 ， 但 是 需要 注意 的 是 这 个 任务 能 够 
比 理 解 系统 中 可 达 状 态 的 精确 集合 更 简单 。 例 如 ， 通 过 引入 一 个 额外 的 整 型 变量 z， 并 初 
始 化 为 0， 以 及 通过 修改 自 循环 

(r <m) —> {z = at+lsy*=ytlsyzt=z+2y} 
让 我 们 修改 图 3-10 中 的 迁移 系统 IncDec(m), 

为 了 证 明 属 性 0 志 y 写 m 是 修改 后 系统 的 一 个 不 变量 ， 只 需要 考虑 强化 的 OS ym A x 
y 一 Mi， 也 可 证 明 该 表达 式 是 修改 后 系统 的 一 个 归纳 不 变量 。 注 意 ， 能 够 刻画 修改 后 系统 的 
可 达 状 态 集合 的 属性 更 复杂 ， 因 为 它 需 要 涉及 工 和 > 的 当前 值 。 换 名 话说 ， 为 了 使 用 归纳 
不 变量 的 技术 证 明 变 量 y 在 0~m 内 ， 只 需要 解释 My 之 间 的 关系 ， 用 户 可 以 忽略 变量 
z 更 新 的 方式 。 

同步 领导 选举 协议 的 证 明 

为 了 说 明 更 有 趣 的 证 明 过 程 ， 我 们 考虑 2. 4. 3 节 中 领导 选举 的 泛 洪 算法 的 核心 正确 
性 论证 。 对 于 节点 集合 P 和 构成 节点 上 的 强 连 接 图 的 有 向 连接 集合 正 ， 考 虑 定义 为 所 有 
节点 构件 syncLENode, 组 合 的 系统 SyncLE， 执 行 领导 选举 协议 的 节点 (每 一 个 节点 
nE€ P)， 以 同步 的 方式 传递 消息 的 组 合 网 络 构件 NetWorkp,E。SyncLE 的 迁移 系统 的 描述 
总 结 如 下 。 

对 每 个 节点 nxn， 状 态 变 量 集合 包含 变量 id, 和 x,。 所 有 状态 变量 的 类 型 是 nat。 最 初 ， 
每 个 变量 六 的 值 是 1， 每 个 变量 id, WEE n. 

对 于 每 个 节点 n，SyncLE 的 迁移 描述 使 用 变量 in,、out 和 status,， 它 们 是 各 个 构件 
用 于 通信 的 输入 /输出 变量 。 在 每 个 循环 中 的 更 新 包括 以 下 的 步骤 序列 : 

1) 所 有 节点 构件 的 任务 A WIT: 对 每 个 节点 xn， 如 果 条 件 KN 成 立 ， 那 么 将 值 id， 
发 送 到 out,， 并 且 递 增 7 MA. AM. out, 为 空 ， 并 且 变 量 r, 的 值 保持 不 变 。 

2) 构件 NetWork 负责 更 新 所 有 的 变量 in;: 对 于 每 个 节点 n, in 的 值 等 于 包含 变量 
out, 的 值 的 集合 ， 这 样 就 有 一 条 从 节点 m 到 节点 的 网 络 边 且 事 件 out 发 生 。 

3) 所 有 节点 构件 的 任务 A: 执行 : 对 每 个 节点 n， 变 量 值 id; 的 值 更 新 为 它 当 前 值 和 集 
合 in, 中 值 的 最 大 值 。 

考虑 迁移 系统 SyncLE 的 下 列 属 性 Pieader : 

对 于 每 个 节点 n， 在 N 个 循环 后 ， 变 量 id, 的 值 等 于 尸 中 的 最 大 标识 符 ， 其 

P, P: r,=N-id,=max P. 

接 下 来 要 说 明 这 个 属性 不 是 归纳 的 。 为 了 强化 它 ， 我 们 必须 断言 在 每 个 7 循环 的 开 
ie, id, 的 值 是 节点 标识 符 的 最 大 值 ， 其 中 ， 节 点 之 间 的 距离 小 于 ?一 7。 根 据 已 中 的 链 路 ， 
令 dist(m，n) 表 示 从 节点 m 到 节点 n 的 最 短路 径 长 度 。 节 点 到 自身 的 距离 是 0。 考 虑 以 
下 属性 g: 

对 于 每 个 节点 nn， id =max {m|dist(m, n)<r,} 

属性 y 确实 蕴含 期 望 的 不 变量 plse:。 这 是 因为 任意 节点 对 之 间 的 距离 至 多 是 N 一 1。 
因此 ， 当 7 等 于 时， 集合 {mx| dist(m，7) 壹 x,) 必 须 等 于 所 有 标识 符 的 集合 PP， 所 以 
id, 的 值 必须 等 于 最 大 标识 符 max P. 

让 我 们 来 检查 属性 yy 是否 是 系统 syncLE 的 归纳 不 变量 。 最 初 它 成 立 ， 因 为 只 有 从 节 
点 元 到 它 自身 的 距离 是 0。 然 而 ， 它 不 是 强化 归纳 ， 不 能 保证 属性 在 每 个 迁移 中 都 保持 。 
考虑 满足 属性 y 的 状态 s 和 节点 元 。 假 设 循环 变量 7 二;， 其 中 j 二 N。 那 么 ,我们 知道 id， 
的 值 是 max {m|dist(m, nn) 过 7 站}。 在 一 次 循环 中 ， 节 点 接收 所 有 相 邻 节点 的 id 变量 的 
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当前 值 ， 更 新 id, 为 它 当 前 值 和 它 接收 到 的 所 有 值 的 最 大 值 。 由 于 在 节点 n 递增 变量 x, 的 
值 ， 所 以 我 们 需要 证 明 id, 的 更 新 值 是 max {m|dist(m, 7) 二 7 十 1}。 现 在 ， 在 与 节点 
的 距离 小 于 7 十 1 的 任意 节点 m 必须 是 与 它 相 邻 n 个 节点 之 一 (用 m 表示 ) 的 距离 也 小 于 7 
的 节点 。 我 们 能 否 知道 节点 m 的 id 值 在 状态 s 上 必须 至 少 是 7 吗 ? 我 们 知道 ， 根 据 属性 
p. id, 的 值 是 距离 小 于 循环 变量 x 值 的 所 有 节点 的 标识 符 的 最 大 值 。 如 果 我 们 能 够 得 出 
ERE s EW ra WEE j 我 们 可 以 成 功 完成 证 明 。 但 是 ， 这 不 可 能 在 属性 y 中 获得 ， 所 
以 证 明 失 败 。 必 要 的 强化 还 必须 断言 所 有 节点 的 循环 变量 值 相等 。 以 下 的 属性 wa 确实 是 
系统 SyncLE 的 一 个 归纳 不 变量 ,并且 药 含 peaae : 
对 于 每 个 节点 n， id, =max {m|dist(m，n) 过 r,}; 并 且 ， 对 于 每 一 个 节点 
对 m Fens m= 成 立 。 
练习 3. 6: 考虑 带 有 两 个 整 型 变量 zx My 以 及 一 个 布尔 变量 > 的 迁移 系统 工 。 所 有 变量 的 初始 值 都 是 0。 
系统 的 迁移 对 应 于 执行 条 件 语句 
if(z = 0)then{z':= 2+1;z = l}else{y := yt1;z 二 20} 
考虑 由 (z 一 y) V (Cz 一 y 十 1) 给 定 的 属性 p。9 是 迁移 系统 工 的 不 变量 吗 ? p 是 迁移 系统 工 
的 归纳 不 变量 吗 ? 找到 一 个 公式 jy, 使 得 yy 比 p 更 强化 ， 并 且 是 迁移 系统 了 的 归纳 不 变量 。 验 
证 你 的 答案 。 
练习 3.7: 我 们 知道 练习 3.1 中 的 迁移 系统 Mault(mz，z) 。 首 先 ， 证 明 不 变量 属性 (mode= stop)—>(y=m 
nn) 不 是 归纳 不 变量 。 然 后 ， 找 出 一 个 是 归纳 不 变量 的 强化 属性 。 验 证 你 的 答案 。 
练习 3.8: 考虑 图 3-11 所 示 的 扩展 状态 自动 机 描述 的 迁移 系统 。 考 虑 x 三 0 给 出 的 属性 p WEHR o 不 是 
系统 的 归纳 不 变量 。 找 出 公式 g, 使 得 y 比 g 更 强化 ， 并且 是 归纳 不 变量 。 证 明 你 的 答案 。 
练习 3.9: 考虑 系统 RailRoadSystem2， 其 对 应 图 3-8 所 示 人 
的 控制 器 。 对 于 以 下 列 出 的 每 个 属性 ， 说 明 属 性 
是 否 是 系统 的 不 变量 ， 如 果 是 ， 它 是 否 是 归纳 不 intx:=0 
变量 。 验 证 你 的 答案 并 做 出 解释 。 


x:=x-1 
1) 当 东 边 的 火车 离开 时 ， 控 制 器 状态 变量 nears 是 
0; 香 则 ， 是 1: (neare =0)<> (moder = away). EATS FA AES 


2) 当 东 边 的 火车 在 桥 上 时 ， 对 应 于 东边 信号 的 控制 器 状态 变量 是 绿色 : modes = bridge 
east 一 green。 


3) 两 个 信号 的 控制 器 变量 不 能 同时 是 绿色 : 一 (east 一 green 人 west 一 green) 。 


3.2.2 不 变量 的 自动 验证 


在 我 们 继续 考虑 迁移 系统 不 变量 的 验证 技术 前 ， 我 们 先 将 不 变量 验证 作为 可 计算 问题 
来 讨论 。 在 理想 情况 下 ， 我 们 更 喜欢 自动 验证 。 我 们 ey cee S FERM 
面临 的 挑战 是 建立 一 个 图 3-12 所 示 的 验证 工具 ， 验 证 
器 的 输入 包括 迁移 系统 T 的 描述 和 属性 p， 它 能 够 判 “一 大 人 = 
定 属性 p 是否 是 迁移 系统 的 不 变量 。 

不 可 判定 性 

一 般 地 ， 验 证 问题 是 不 可 判定 的 。 这 意味 着 我 们 不 能 希望 有 一 种 完全 的 算法 解决 方案 
来 解决 不 变量 验证 问题 。 图 3-12 所 示 的 理想 验证 器 是 不 存在 的 。 直 观 地 ， 为 了 检查 属性 o 
是 否 是 迁移 系统 的 不 变量 ， 验 证 工具 需要 检查 的 所 有 可 达 状 态 。 给 定 工 的 描述 ， 验 
证 工具 能 够 系统 地 搜索 可 达 状 态 并 检查 每 个 可 达 状 态 是 否 满足 属性 p。 但 是 ， 当 系统 的 状 
态 数量 是 无 限 的 ， 并 且 使 用 无 边界 类 型 变量 (如 nat) 来 描述 系统 的 情况 时 ， 虽 然 验证 工具 
不 能 得 出 系统 在 所 有 可 达 状 态 上 属性 都 能 够 满足 ， 但 是 它 有 持续 不 停 地 运行 来 搜索 越 来 越 





图 3-12 理想 的 自动 验证 工具 
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多 的 系统 状态 的 能 力 。 从 形式 化 的 角度 来 看 ， 验 证 问题 的 不 可 判定 性 来 自 计 算 理 论 的 结 
果 。 事 实 上 ， 如 果 我 们 限制 到 只 有 计数 器 变量 的 迁移 系统 ,那么 不 变量 验证 问题 仍然 是 不 
可 判定 的 ,这 里 的 可 数 变量 是 nat 类 型 的 变量 ， 在 一 个 迁移 中 只 能 递增 、 递 减 或 者 检查 
是 否 等 于 0。 

有 限 状态 系统 的 验证 

现在 ， 让 我 们 把 注意 力 转 移 到 具有 有 限 类 型 变量 的 系统 上 。 对 于 这 样 的 有 限 状态 机 ， 
所 有 可 能 状态 的 数量 是 有 界 的 。 在 这 种 特定 情况 下 ， 不 变量 验证 问题 可 以 自动 进行 。 验 证 
器 的 输 大 是 用 源 建 模 语 言 描述 的 迁移 系统 ， 因 此 是 以 一 种 紧凑 方式 描述 的 。 特 别 地 ， 对 于 
同步 反应 式 构件 ， 状 态 的 集合 通过 列 出 所 有 变量 的 名 字 和 类 型 来 描述 的 ， 迁 移 的 集合 是 通 
过 赋值 和 条 件 语句 的 序列 来 描述 的 。 如 果 迁 移 系统 荆 有 k 个 状态 变量 ， 并 且 每 个 状态 至 多 
可 以 有 加 个 不 同 的 值 ， 那 么 状态 数量 的 上 界 是 mx*。 状 态 的 总 数 随 着 状态 变量 数 & 呈 指数 
增长 ， 因 此 ， 基于 检查 所 有 状态 的 解决 方案 不 能 得 到 可 扩展 的 分 析 工 具 。 然 而 ， 这 个 指数 
复杂 度 是 它 固 有 的 问题 。 

不 变量 验证 问题 精确 计算 的 复杂 度 依赖 于 用 于 描述 迁移 系统 的 建 模 语言 的 细节 。 作 为 
分 析 例 子 ， 让 我 们 考虑 2. 4. 1 节 讨 论 的 描述 为 时 序 电 路 的 迁移 系统 。 时 序 电路 是 用 连接 非 
门 、 与 门 和 锁 存 器 的 方 框图 来 描述 的 。 这 个 电路 中 的 所 有 变量 都 是 bool 类 型 的 。 如 果 电 
路 有 个 锁 存 器 ， 那 么 可 能 的 状态 数 是 2 。 假 设 属性 g 是 布尔 表达 式 ， 描 述 与 锁 存 器 相对 
应 的 状态 变量 。 在 这 种 情况 下 ， 不 变量 验证 问题 是 计算 问题 的 复杂 度 类 Pseacg 的 典型 问题 。 
Pspace 表 示 使 用 space 多 项 式 可 解决 的 问题 ，space 多 项 式 是 关于 输入 大 小 的 一 个 多 项 式 。 
PspAcE 的 上 界 意味 着 ， 存 在 一 种 算法 能 够 为 时 序 电路 解决 不 变量 验证 问题 ， 它 需要 的 内 存 
多 项 式 是 关于 电路 描述 中 使 用 的 锁 存 器 和 门 的 数量 的 多 项 式 。 此 外 ，Pspace 类 的 不 变量 验 
证 问题 是 很 难 计算 的 ， 即 ,该 类 的 所 有 其 他 问题 都 能 够 重新 形式 化 地 描述 为 时 序 电路 的 不 
变量 验证 。 

定理 3. 1( 有 限 状 态 不 变量 验证 的 复杂 度 ) 给 定时 序 电 路 C， 它 表示 为 用 了 非 门 、 与 
门 和 锁 存 器 连接 的 方 框图 ， 属 性 p 描述 为 与 锁 存 器 相对 应 的 状态 变量 上 的 布尔 式 。 检 查 属 
性 gp 是 否 是 迁移 系统 C 的 不 变量 的 可 计算 问题 是 Pspxce 完 全 问题 。 

以 严格 的 方式 理解 Pspace 的 复杂 度 边界 需要 采用 计算 复杂 度 理论 ， 这 超出 了 本 书 的 范 
哮 。 我 们 只 关注 对 我 们 有 用 的 一 些 内 容 。 首 先 ， 不 变量 验证 问题 的 复杂 度 特点 是 健壮 的 : 
在 应 用 于 实际 中 的 所 有 典型 建 模 语 言 中 ， 不 变量 验证 问题 对 于 有 限 状 态 系统 是 Pspace 完 全 
的 。 无 论 系统 是 确定 性 的 还 是 非 确 定性 的 ， 复杂 度 保持 不 变 。 其 次 ，Pspace 类 的 问题 是 NP 
类 问题 的 超 集 ， 它 代表 可 以 通过 非 确定 性 算法 在 输入 大 小 的 多 项 式 时 间 内 解决 的 问题 。 
NP 类 的 典型 问题 是 组 合 电路 的 分 析 。 考 虑 组 合 电 路 C， 它 是 用 非 门 和 与 门 描述 的 方 框图 ， 
使 得 C 有 mm 个 布尔 输入 变量 zi ，…，z 和 一 个 布尔 输出 变量 y。 假 设 我 们 想 要 检查 是 否 
存在 一 个 输入 ， 即 为 m 输入 变量 赋值 0/1， 使 得 C 的 输出 是 1。 给 定 一 个 特定 的 输入 ， 计 
算 对 应 的 输出 很 简单 ， 我 们 能 够 开发 一 种 有 效 的 算法 来 满足 电路 大 小 ( 即 门 的 数量 ) 线 性 时 
间 的 目标 。 然 而 ， 为 了 检查 是 否 存 在 某 个 输入 对 应 的 输出 是 1， 尝 试 所 有 输入 的 最 显著 的 
策略 会 导致 指数 时 间 算 法 ， 因 为 有 2” 个 可 能 的 输入 。 这 个 结构 使 组 合 电 路 的 分 析 问 题 属 
于 NP 类 。 此 外 ， 它 是 所 有 NP 问题 的 典型 代表 : 如 果 组 合 电路 分 析 问 题 能 够 有 效 地 解决 ， 
那么 NP 类 中 的 每 个 问题 也 能 够 解决 。 因 此 ， 组 合 电路 分 析 问 题 是 NP 完全 问题 。 这 样 的 
问题 是 否 能 够 通过 多 项 式 时 间 解 决 仍 然 是 计算 机 科学 中 的 一 个 长 期 存在 的 开放 间 题 。 实 际 
上 ， 我 们 能 够 假设 NP 完全 问题 不 存在 有 效 的 算法 ， 因 此 ，Pspace 完 全 问题 (例如 ， 有 限 状 
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态 系统 的 不 变量 验证 问题 ) 也 没有 有 效 的 算法 。 最 后 ， 注 意 组 合 电路 分 析 问 题 是 从 给 定 状 
态 计算 反应 的 代表 。 对 于 与 同步 反应 式 构 件 相对 应 的 有 限 状 态 系统 ， 给 定 两 个 状态 s Ale, 
判定 是 否 存在 一 个 从 状态 s 到 状态 的 迁移 是 典型 的 NP 完全 问题 ， 因 为 它 需 要 检查 所 有 
可 能 的 输入 组 合 ， 但 是 对 于 特定 的 输入 i， 能 够 通过 执行 更 新 代码 来 有 效 地 判定 是 否 状态 s$ 
在 输入 i 时 是 否 会 更 新 到 状态 z。 

总 之 ， 对 于 有 限 状 态 反 应 式 构 件 ， 分 析 在 一 个 循环 中 发 生 了 什么 是 很 难 计算 的 (NP 完 
全 问题 )， 因 为 输入 变量 的 值 有 多 种 组 合 ; 在 跨 多 个 循环 中 ， 分析 在 一 次 执行 中 发 生 了 什 
A. 将 有 额外 的 计算 困难 (Pspace 完 全 问题 )， 因 为 状态 变量 的 值 有 多 种 组 合 。 


3.2.3 基于 模拟 的 分 析 


在 工业 上 ， 最 常用 的 系统 分 析 技 术 是 模拟 进行 搜索 。 用 户 给 定 值 上 作为 模拟 的 步 又 
数 ， 算 法 为 包含 & 个 迁移 的 迁移 系统 生成 执行 ， 并 检查 不 变量 是 否 能 够 在 执行 过 程 中 对 每 
一 个 访问 的 状态 成 立 。 通 常 ， 迁 移 系统 有 多 个 给 定 长 度 的 执行 。 例 如 ， 在 对 应 于 同步 反应 
式 构 件 的 迁移 系统 中 ， 每 个 状态 能 够 有 多 个 后 继 ， 因 为 在 反应 描述 中 有 输入 和 非 确定 性 选 
择 。 在 这 种 情况 下 ， 仿 真 器 必须 以 某 种 方式 解决 选择 问题 ， 例 如 ， 使 用 随机 的 方式 。 
基于 模拟 的 算法 能 够 处 理 多 种 不 同方 式 描述 的 迁移 系统 ， 包 括 了 从 源 代码 到 内 部 表示 
的 方式 。 需 要 什么 是 从 表示 生成 初始 状态 的 方式 ， 也 是 生成 给 定 状 态 的 后 继 状态 的 方式 。 
更 具体 地 ， 基 于 模拟 的 算法 依赖 于 以 下 数据 结构 和 操作 的 实现 : 
© 迁移 系统 的 状态 的 类 型 是 state。 常 量 null 描述 了 虚拟 状态 。 
© 给 定 迁 移 系统 了，ChooseSuccSate(T) 返 回 某 个 初始 状态 ; 如 果 了 没有 初始 状态 ， 
则 返回 虚拟 状态 null. 
© 给 定 迁 移 系统 T HAIRA s, ChooselnitSate(s, MRE s 的 某 个 后 继 状态 ， 即 ， 某 一 
状态 t 使 得 (s， DE THEBE: 如 果 s 没有 向 外 迁移 ， 则 返回 虚拟 状态 null. 
e 给 定 属性 pg 和 状态 *， 如 果 状 态 s 满足 属性 p， 那 么 Satisfies(s，g) 返 回 1， 否 则 返 
回 0。 
模拟 算法 如 图 3-13 所 示 。 变 量 exec 是 状态 的 数组 ， 对 指定 的 步骤 数 , 算法 将 数组 的 
项 目 一 个 一 个 填 满 。 在 每 一 步 ， 使 用 函数 Satisfies 来 检查 当前 状态 是 否 违反 了 期 望 的 不 变 
量 。 注 意 ， 如 果 没 有 找到 违反 的 情况 ， 那 么 算法 不 能 对 不 变量 是 否 成 立 做 出 结论 。 在 这 种 
情况 下 ， 我 们 可 以 重复 运行 算法 来 获得 系统 正确 性 的 更 多 可 信和 度 。 然 而 ， 这 样 的 分 析 不 能 
证 明 系统 确实 满足 不 变量 。 这 种 分 析 形 式 叫 作证 伪 ， 它 只 能 最 终 证 明 系 统 满 足 指定 的 正确 


性 需求 是 假 的 。 输入 : 迁移 系统 Tr， 属性 gp 和 一 个 整数 > 0 
表示 迁移 系统 输出 : 如 果 找 到 违反 了 g 的 状态 ， 那 么 返回 一 个 反例 
基于 模拟 的 算法 的 实际 运行 时 间 依赖 于 | 50 el ves 

执行 函数 需要 多 长 时 间 , 例如 ;Choose- | states:=ChooselnitState(7); 


SuccSate 依赖 于 迁移 系统 的 表示 。 迁 移 系 统 ifs=null then return; 


的 一 种 可 能 表示 方式 是 用 源 建 模 语言 表示 的 TE Sutisties (s, g)=0 then return exec; 
系统 的 原始 描述 。 对 于 与 同步 反应 式 构件 相 “| enaa l ateh, D: 

对 应 的 迁移 系统 ， 系 统 描述 是 典型 的 兼容 构 | ifra then return; 

件 的 并 行 组 合 ， 其 中 每 个 构件 包含 一 个 或 者 if Satisfies (s, g)=0 then return exec; 
多 个 任务 ， 每 个 都 带 有 一 个 用 直线 代码 给 出 


的 更 新 描述 ， 同 时 各 任务 之 间 的 优先 级 。 对 图 3-13 ”基于 模拟 的 不 变量 证 伪 算 法 
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于 这 种 选择 ， 函 数 ChooseSuccSate 的 实现 可 以 表示 如 下 。 给 定 一 个 状态 ， 它 首先 为 输入 
变量 挑选 任意 值 。 然 后 ， 它 以 一 种 与 所 有 优先 约束 相 一 致 的 方式 对 所 有 构件 的 所 有 任务 排 
序 。 接 着 ， 按 照 选 中 的 顺序 执行 任务 的 更 新 规约 。 如 果 在 任意 更 新 规约 中 有 一 个 非 确定 性 
的 赋值 (使 用 choose 命令 )， 则 能 够 做 出 任意 的 选择 。 这 种 实现 方式 称 为 模型 解释 : 在 
ChooseSuccSate 的 执行 过 程 中 ， 根 据 需要 解释 模型 描述 中 的 不 同 结构 。 

另 一 种 策略 是 模型 编译 : 源 建 模 语言 中 的 系统 的 原始 描述 可 以 编译 为 操作 的 可 执行 函 
数 ， 如 ChooseSuccSate 专门 针对 这 种 特殊 的 迁移 系统 。 也 就 是 说 ， 给 定 迁 移 系 统 工 的 描 
述 ， 模 型 编译 器 生成 ChooseSuccSater 的 可 执行 函数 。ChooseSuccSater 的 输入 是 T 的 状 
态 ， 它 的 输出 将 是 输入 状态 的 后 继 状 态 。 图 3-14 给 出 了 解释 和 编译 的 这 两 种 方法 。 在 同 
步 反 应 式 构 件 的 环境 中 ，ChooseSuccSater 的 编译 版 本 包含 了 所 有 任务 的 一 个 固定 执行 顺 
序 : 这 个 顺序 需要 与 所 有 优先 约束 相 一 致 ， 但 是 当 生 成 ChooseSuccSater 的 代码 时 ， 它 只 
能 被 选择 一 次 。 非 确定 性 结构 ， 如 单个 任务 的 更 新 规约 中 的 choose, 可 以 用 目标 语言 中 
的 随机 数 生 成 器 例 程 的 合适 选择 的 调用 来 代替 。 模 型 编译 方法 的 主要 优点 是 性 能 : 对 
ChooseSuccSater 的 单个 调用 不 需要 处 理 源 模型 的 内 部 表示 ， 因 此 执行 速度 更 快 。 


7 的 描述 解释 器 
状态 * 


编译 器 可 执行 代码 






7 的 描述 后 继 状 态 t 


ChooseSuccState, 


图 3-14 基于 模拟 分 析 的 解释 与 编译 


状态 压缩 

存储 状态 的 分 析 算法 所 使 用 的 内 存 明显 受 各 个 状态 如 何 表示 和 存储 的 影响 。 对 于 图 3-13 
所 示 的 模拟 算法 ， 状 态 存储 在 数组 exec 中 。 表 示 一 个 状态 的 最 自然 的 数据 结构 是 记录 
(record) 类 型 ， 状 态 变 量 的 每 个 部 分 都 有 一 个 字段 (field)。 但是， 这 样 太 浪 费 了 : MRA 
统 有 50 个 状态 变量 ,那么 在 32 位 机 上 为 每 个 字段 分 配 一 个 字 就 意味 着 每 个 状态 需要 400 
字 节 ， 存 储 成 千 上 万 的 状态 是 不 实际 的 。 因 此 ， 使 用 低级 位 编码 来 表示 状态 。 对 于 每 个 状 
态 变量 ， 分 析 工 具 首 先 计 算 位 数 的 上 界 ， 它 能 够 有 效 地 编码 所 有 可 能 的 值 。 一 个 布尔 变量 
只 需要 1 位 ， 具 有 3 个 值 的 枚 举 类 型 的 变量 需要 2 位 ， 对 于 存储 汽车 速度 的 变量 ， 每 小 时 
公里 数 包括 了 一 个 小 数 点 、10 位 就 够 了 。 然 后 ， 将 状态 编码 为 位 序列 。 


3.3 枚 举 搜索 


给 定 一 个 迁移 系统 工 和 它 的 一 个 属性 ， 为 了 检查 该 属性 是 否 是 迁移 系统 的 不 变量 ， 我 
们 可 以 检查 该 属性 的 否定 是 否 是 可 达 的 。 这 个 问题 可 以 看 作 在 图 中 找到 一 条 路 径 ， 图 的 节 
点 对 应 于 系统 工 的 状态 ， 图 的 边 对 应 于 系统 T 的 迁移 。 在 经 典 的 图 形 搜索 算法 中 ， 输 入 
图 通过 列 出 所 有 的 节点 和 边 来 表示 。 在 不 变量 验证 中 ， 图 是 由 状态 变量 、 它 们 的 初始 化 以 
及 迁移 的 更 新 代码 ， 来 隐 式 地 给 出 ， 并 图 可 能 不 是 有 限 的 。 因 此 ， 我们 不 想 显 式 地 建立 
图 ， 只 尽量 多 地 搜索 需要 的 图 。 
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可 达 子 图 

对 于 一 个 迁移 系统 TT 包含 了 系统 了 的 可 达 状 态 和 这 些 状 态 的 迁移 的 图 构成 系统 的 可 
达 子 图 。 为 了 检查 属性 是 否 是 不 变量 ， 只 需要 检查 可 达 子 图 就 行 了 。 

让 我 们 再 回 到 图 3-8 所 示 的 铁路 又 道口 例子 的 控制 器 Controller2。 对 于 系统 
RailroadSystem2， 有 6 个 状态 变量 : modew 和 modes， 它 们 的 取 值 范围 都 是 {away， 
wait, bridge}; west 和 east， 它 们 的 取 值 范围 都 是 {green，red}); 布尔 变量 nearw 和 
nearg。 因 此 ， 系 统 有 144 个 可 能 的 状态 。 
它 表明 只 有 少数 状态 是 可 达 的 。 图 3-15 显 
示 了 图 的 可 达 部 分 。 每 个 状态 通过 列 出 变 
量 值 来 表示 ， 按 modew、modeg、nearw、 


nearg, west 和 east 这 个 顺序 来 表示 。 我 们 
Ha, w, b, g 和 > 来 分 别 代替 值 away. = 
wait, bridge, green 和 read 的 简写 。 


初始 化 状态 是 aa00rr， 表 示 两 列 火车 都 离 
开 、 两 个 near 变量 都 是 0 以 及 两 个 信号 都 
是 red。 从 该 状态 出 来 的 4 个 迁移 对 应 于 
多 种 可 能 性 之 一 ,包括 只 有 一 列 到 达 、 两 图 3-15 RailRoadSystem2 的 可 达 子 图 
列 同时 到 达 或 者 两 列 都 没有 到 达 。 其 中 一 个 迁移 是 自 循环 到 aa00rr， 其 他 三 个 指向 状态 
waldgr, aw0lrg 和 wwrw1llrg。 然 后 ， 我 们 可 以 系统 地 考虑 从 这 3 个 新 状态 产生 的 所 有 可 
能 的 迁移 ， 并 继续 直到 没有 新 的 状态 被 发 现 。 在 这 144 个 状态 中 ， 只 找到 9 个 状态 是 可 
达 的 。 
我 们 选择 另 一 个 例子 来 考虑 2. 4. 3 节 中 的 同步 领导 选举 协议 。 假 设 我 们 为 节点 标识 符 
的 集合 P 和 网 络 链接 的 集合 E 选择 值 。 由 于 变量 的 类 型 (如 每 个 节点 构件 的 > 和 id) 都 是 
nat 类 型 ， 所 以 构件 SyncLE 仍然 有 无 限 多 个 状态 。 然 而 ， 在 系统 执行 过 程 中 ， 循 环 变量 
r 的 取 值 范围 是 {1，2,，…，N},， 这 里 N 是 网 络 中 节点 数 的 上 界 ， 标 识 变量 id 的 取 值 范围 
是 PP。 因 此 ， 对 于 一 个 给 定 的 网 络 ， 系 统 的 可 达 状 态 数 是 有 限 的 。 
这 些 例 子 表明 ， 不 变量 验证 问题 的 分 析 算 法 应 该 只 搜索 从 初始 状态 开始 的 系统 可 达 状 
态 。 这 样 的 搜索 过 程 称 为 on-the-fly， 因 为 它 以 增 量 的 方式 检查 系统 的 状态 和 迁移 。 因 为 
它 单 独 地 处 理 每 一 个 状态 ， 所 以 它 是 枚 举 的 。 
on-the fly 深度 优先 搜索 
正如 在 基于 模拟 的 搜索 案例 中 ，on-the-fly 算法 的 表示 不 依赖 于 迁移 系统 的 具体 表示 。 
在 枚 举 搜索 中 ， 我 们 需要 的 是 有 一 种 方法 可 以 系统 地 枚 举 迁 移 系统 的 所 有 初始 状态 ， 以 及 
在 给 定 状态 s 时 有 一 种 方法 可 以 系统 地 枚 举 状态 s 的 所 有 后 继 状态 ， 也 就 是 说 ， 状 态 了 上 使 
得 (s, 是 一 个 迁移 。 正 如 基于 模拟 的 搜索 案例 中 ， 迁 移 系统 的 状态 是 state 类 型 。 我 们 
将 使 用 访问 迁移 系统 表示 的 下 述 函 数 : 
o 给 定 迁 移 系统 个，FirstInitState(T) 返 回 械 的 第 一 个 初始 状态 ,根据 初始 状态 选择 
的 枚 举 值 ， 如 果 工 没有 初始 状态 ， 则 返回 虚拟 状态 null. 

© 给 定 迁 移 系 统 了 和 一 个 初始 状态 *， 根 据 初 始 状 态 选 择 的 枚 举 值 ，NextInitState(s， 
T) 返 回 在 状态 s 后 面 的 初始 状态 ， 如 果 没 有 这 样 的 状态 存在 ， 则 返回 null. 

e 给 定 迁 移 系 统 了 和 了 的 一 个 状态 ss，FirstSuccState(5，T) 返 回 的 第 一 个 后 继 状 
态 ， 根 据 状态 上 的 集合 选择 的 枚 举 值 ， 使 得 (5*，T) 是 工 的 一 个 迁移 ， 如 果 没有 向 
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外 迁移 ， 那 么 返回 虚拟 状态 null. 
© 给 定 迁 移 系统 T MIKA s 和 :，NextSuccState(s，t1，T) 返 回 s 的 后 继 状 态 集合 选择 
的 枚 举 值 中 的 t 后 面 的 状态 ， 如 果 不 存在 这 样 的 状态 ， 那 么 返回 虚拟 状态 null. 
例如 ， 如 果 迁 移 系 统 荆 有 一 个 nat 类 型 的 状态 变量 r 且 初 始 化 时 指定 z 宇 10， 那 么 
系统 T 有 无 限 多 个 初始 状态 ,; :它们 可 以 枚 举 为 10，11，12，…。 在 这 种 情况 下 ， 
FirstInitState 能 够 返回 10, X} F n=10, NextInitState 对 于 输入 能 够 返回 nn 十 1。 枚 举 搜 
索 需 要 具备 系统 地 列 出 所 有 初始 状态 和 状态 的 后 继 的 能 力 。 能 够 有 效 地 枚 举 初始 状态 集合 
及 其 后 继 状 态 集合 的 迁移 系统 T 称 为 可 数 分 支 : 无 论 什 么 时 候 在 扩展 执行 中 进行 选择 时 ， 
所 能 选择 的 数量 就 是 可 数 的 。 如 果 荆 有 real 类 型 的 状态 变量 x 并 初始 化 时 指定 Krs 
1， 那 么 就 会 存在 无 数 多 的 初始 状态 ， 每 一 个 对 应 于 区 间 [L0，1] 内 的 每 一 个 实数 。 这 个 迁 
移 系 统称 为 不 可 数 分 支 。 对 于 这 样 的 系统 ,不 可 能 应 用 系统 的 搜索 对 状态 一 个 一 个 地 搜 
索 。 需 要 注意 的 是 : 在 这 个 例子 中 基于 模拟 的 探究 仍然 是 可 能 的 ， 因 为 我 们 可 以 实现 
ChooselnitState 返回 一 个 达到 浮 点 数 指定 精度 的 随机 选择 的 实数 。 
图 3-16 显示 了 (可 数 分 支 ) 迁 移 系 统 的 on-the-fly 搜索 经 典 深度 优先 搜索 算法 。 它 依赖 
于 以 下 的 数据 结构 。 


输入 : 迁移 系统 T 和 属性 p 

输出 : 如 果 yw 在 7 中 是 可 达 的 ， 则 返回 一 个 证 据 ， 否 则 返回 0 
set(state) Reach := EmptySet; 

set (state) Pending := EmptyStack; 

state s := FirstInitState (7); 


whiles # null do { 

if Contains (Reach, s)=0 then 

if DFS(s)= 1 then return Reverse (Pending) ; 
s = NextInitState (s, T); 
}5 


return 0. 


bool function DFS(state s) 
Insert (s, Reach); 
Push (s, Pending) ; 
if Satisfies (s, g)= 1 then return 1; 
state := FirstSuccState (s, T); 
whilet # nulldo { 
if Contains (Reach, ?=0 then 
if DFS(#)=1 then return l; 
t := NextSuccState (s, t, T); 


Js 
Pop (Pending); 


return 0. 





图 3-16 用 于 可 达 性 分 析 的 on-the-fly 深度 优先 算法 


è Set(state) 类 型 的 变量 Reach 是 存储 可 达 状 态 的 集合 。 对 这 个 集合 数据 结构 的 操 
作 有 : 1) 初始 化 对 应 于 空 集 的 常量 EmptySet; 2) 成 员 测试 contains, FEM 
入 一 个 集合 和 一 个 状态 ， 如 果 输 入 状态 属于 输入 集合 ， 那 么 返回 1， 否 则 返回 0; 
3) 插入 过 程 Insert， 需 要 输入 一 个 状态 和 一 个 集合 ， 并 通过 将 输入 状态 增加 到 该 
集合 中 来 更 新 输入 集合 。 

è Stack(state) 类 型 的 变量 Pending 用 来 正在 搜索 中 的 存储 状态 序列 。 对 这 个 栈 数 
据 结构 的 操作 有 : 1) 初始 化 对 应 于 空 栈 的 常量 EmptyStack; 2) 过 程 Push, € 
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需要 输入 一 个 状态 和 一 个 栈 ， 并 通过 将 输入 状态 添加 到 它 的 栈 顶 来 更 新 输入 栈 ; 
3) 过 程 Pop， 它 需要 输入 一 个 栈 ， 如 果 栈 中 有 元 素 ， 那 么 通过 删除 栈 顶 元 素来 更 新 
Bi; 4) 函数 Reverse， 它 需要 一 个 栈 ， 并 返回 它 包 含 的 从 栈 底 到 栈 顶 的 状态 序列 。 
该 算法 维护 它 目 前 已 经 遇 到 的 状态 集合 Reach。 保 证 该 集合 中 的 所 有 状态 都 是 迁移 系 
统 工 的 可 达 状 态 。 通 过 函数 FirstInitState 和 NextInitState， 将 迁移 系统 的 初始 状态 一 个 
一 个 地 提供 给 算法 。 算 法 从 每 个 初始 状态 开始 搜索 ， 并 且 这 些 状态 还 没有 被 递归 函数 DFS 
访问 。 当 用 输入 状态 s 调用 DFS 时 ， 它 把 状态 s 添加 到 集合 Reach 中 ， 并 将 它 压 人 栈 
Pending 的 栈 顶 。 任 何 时 候 ， 栈 包含 状态 序列 ， 使 得 栈 底 的 状态 是 初始 状态 ， 并 且 每 一 个 
状态 都 有 一 个 从 它 下 面 的 状态 开始 的 迁移 。 如 果 输 入 状态 * 满足 属性 pp， 那 么 算法 发 现 o 
是 可 达 的 ， 并 且 所 有 挂 起 的 DFS 调用 都 终止 。 栈 包含 迁移 系统 的 执行 ， 该 执行 证 明 满 足 
属性 gq 的 状态 的 可 达 性 ， 因 此 ， 依 据 反 向 栈 可 以 作为 证 据 执 行 的 输出 。 如 果 输 入 状态 > 不 
能 满足 属性 pp， 那么 算法 检查 所 有 从 开始 的 向 外 迁移 。* 的 后 继 状 态 通过 函数 First- 
SuccState 和 NextSuccState 一 个 一 个 地 提供 给 算法 。 算 法 从 这 些 还 没有 访问 的 后 继 状 态 递 
归 地 调用 DFS。 如 果 所 有 的 DFS 调用 终止 了 ， 那 么 算法 就 已 经 访问 了 所 有 可 达 状 态 ， 而 
没有 遇 到 满足 属性 o 的 状态 并 且 它 返回 0。 
例子 说 明 
图 3-17 展示 了 对 应 于 构件 Rairoad- 
System2( 图 3-15 所 示 的 可 达 图 ) 的 迁移 系统 
的 深度 优先 搜索 算法 的 可 能 执行 。 
首先 ， 算 法 用 Reach 等 于 空 集 和 
Pending 等 于 空 栈 的 输入 状态 aa00rr 调用 
DFS。 在 图 3-17 中 ， 给 每 个 状态 赋值 一 个 
唯一 的 数 ， 该 数 表 明 状 态 发 现 的 顺序 ， 并 
将 其 添加 到 Reach。 这 样 ， 状 态 aa00rr 的 
值 为 1。 在 图 3-17 中 ， 从 左 到 右 对 给 定 状 
态 的 后 继 状 态 排 序 。 也 就 是 说 ，aa00rr 的 
第 一 个 后 继 是 aa00rr。 由 于 这 个 状态 已 经 
被 访问 过 了 ， 所 以 没有 对 DFS 进行 新 的 调 
用 。 然 后 ， 检 查 aa00rr 的 下 一 个 后 继 ， 即 
状态 wal0gr。 此 时 ，Reach 只 包含 状态 
aa00rr， 栈 也 只 包含 这 个 状态 ， 函 数 输入 
状态 是 wal0gr 再 次 调用 函数 DFS, È AY 
DFS 发 现 数 是 2。 图 3-17 给 出 了 已 访问 状 
态 集合 Reach 的 值 和 当 有 一 个 新 的 DFS 调 
用 时 栈 Pending 的 值 (简单 地 说 ， 状 态 是 用 
它们 的 DFS 发 现 的 数 来 表示 的 )。 需 要 注 
意 的 是 ， 当 DFS (wal0gr) 返 回 时 ， 集合 
Reach 包含 所 有 的 状态 ， 因 此 ， 依 次 检查 
aa00rr 的 剩 下 两 个 后 继 状 态 aw0lrg 和 
wwllrg， 不 用 对 DFS 进行 新 的 调用 。 3-17 对 系统 RailRoadSystem2 
当 DFS (aw0lrg) 首先 检查 后 继 执行 深度 优先 搜索 的 例子 
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aw0lrg 时 ， 它 调用 DFS(arww01rg)。 该 调用 搜索 从 arw01rg 开始 的 所 有 状态 ， 然 后 返回 。 
Reach 的 值 包含 所 有 的 状态 。 因 为 aw0lrr 的 下 一 个 后 继 是 wwllrg， 并 且 还 没有 被 访问 ， 
所 以 调用 DFS(wrwllrg)。 对 于 两 个 调用 ， 如 DEFS(Caro0lrg) 和 DFS(wwllirg), EHS 
调用 上 下 文 (这 里 指 DFS(aw01rr)) 的 直接 父 节 点 ， 在 该 调用 中 ， 栈 Pending 的 值 是 相同 的 
(并 获取 导致 该 调用 的 输入 状态 的 执行 )， 但 是 变量 Reach 的 值 已 经 改变 了 (在 右边 的 一 定 
是 左边 的 超 集 ) 。 

深度 优先 搜索 的 分 析 

对 于 可 达 状 态 *， 算 法 至 多 一 次 输入 * 调用 DFS， 因 此 它 最 多 处 理 一 次 可 达 状 态 的 每 
个 向 外 迁移 。 如 果 迁 移 系 统 的 可 达 状 驴 的 数量 是 有 限 的 ， 那 么 应 保证 算法 是 可 以 终止 的 ， 
并 且 它 的 运行 时 间 与 可 达 状 态 和 迁移 的 数量 成 线性 比例 。 即 使 当 可 达 状 态 的 数量 不 是 有 限 
的 时 ， 算 法 也 可 以 遇 到 满足 o 的 状态 并 以 一 个 执行 证 据 终止 运行 。 然 而 ， 如 果 属 性 p 不 是 
可 达 的 且 可 达 状 态 的 数量 不 是 有 限 的 ， 那 么 算法 只 是 一 直 检 查 越 来 越 多 的 状态 ， 直 到 它 用 
尽 可 用 的 内 存 。 将 这 些 属性 总 结 为 以 下 的 定理 : 

定理 3. 2( 不 变量 验证 的 on-the-fly 深度 优先 搜索 ) 给 定 一 个 可 数 分 支 的 迁移 系统 工 
和 属性 pp， 图 3-16 所 示 的 深度 优先 搜索 算法 有 以 下 的 保证 : 

1) 如 果 算 法 返回 0， 那 么 属性 只 在 系统 了 中 是 不 可 达 的 。 

2) 如 果 算 法 返回 一 个 状态 序列 ， 那 么 它 的 输出 是 证 明 属性 gp 可 达 性 的 证 据 执 行 。 

3) 如 果 代 的 可 达 状 态 的 数量 是 有 限 的 ， 那 么 算法 终止 ,并且 调用 DFS 的 数量 是 有 界 
的 ， 它 是 可 达 状 态 的 数量 。 

我 们 通过 讨论 枚 举 模型 检查 器 常用 的 一 些 实现 技术 对 枚 举 搜索 的 讨论 进行 了 总 结 ， 以 
便 改 进深 度 优先 搜索 算法 的 效率 。 对 于 基于 模拟 的 搜索 方法 ， 迁 移 系 统 的 表示 应 该 支持 快 
速 的 初始 状态 和 给 定 状 态 的 后 继 状 态 的 计算 ， 算 法 的 内 存 需 求 能 够 通过 状态 的 紧凑 编码 来 
减少 。 

位 状态 散 列 

存储 已 访问 过 的 状态 的 Reach 集合 ， 最 常用 的 数据 结构 是 散 列 表 。 散 列表 包含 了 散 列 
函数 ， 该 函数 能 够 将 每 个 状态 映射 为 0 到 NN 的 整数 ，N 是 合适 选择 的 正 整 数 ， 数 组 的 长 
度 是 N， 数 组 的 一 个 项 是 一 个 状态 列表 。 最 初 ， 所 有 列表 都 是 空 的 。 为 了 在 散 列表 中 插入 
状态 *， 首 先 使 用 散 列 函数 将 s 映射 到 索引 7， 然 后 将 状态 s 添加 到 散 列 表 的 第 7 项 。 为 了 
检查 状态 是否 已 经 在 散 列 表 中 ， 使 用 散 列 函数 将 s 映射 到 索引 7 ， 然 后 ， 扫 描 列 表 的 第 7 
项 来 检查 是 否 包 含 了 s。 如 果 选 择 了 合适 的 散 列 函数 ， 那 么 映射 到 同一 个 索引 的 状态 数 是 
很 小 的 ， 因 此 ，Inset 和 Contains 都 花费 接近 常数 的 时 间 。 

虽然 散 列 是 存储 已 搜索 状态 的 有 效 技术 ， 但 是 可 达 状 态 的 数量 经 常 很 大 以 至 于 无 法 存 
储 在 内 存 中 。 在 这 种 情况 下 ， 可 以 采用 一 种 叫 作 位 状态 散 列 的 近似 策略 。 这 种 方法 使 用 大 
小 为 N 的 哈 希 表 ， 它 的 第 7 项 是 单个 位 。 最 初 ， 所 有 的 位 都 是 0。 使 用 散 列 函数 将 状态 s 
的 插入 映射 为 整数 i， 这 是 通过 将 散 列 表 的 第 j 个 位 设置 为 1 来 实现 的 。 状 态 s 的 成 员 测 
试 返回 对 应 于 s 的 索引 上 存储 的 值 的 位 。 这 种 模式 不 能 正确 地 处 理 散 列 冲突 。 假 设 两 个 状 
态 Alt 都 映射 到 相同 的 索引 7 ， 并 且 状 态 s 先 被 插入 散 列表 。 当 遇 到 状态 上 时 ， 因 为 散 列 
表 的 第 j 位 已 经 设置 为 1， 所 以 成 员 测试 contains 错误 地 返回 一 个 状态 tt 的 肯定 回答 。 
因此 ， 深 度 优先 搜索 算法 不 能 搜索 上 的 后 继 。 所 以 ， 可 达 状 态 集 合 中 只 有 一 部 分 被 搜索 
了 。 因 此 ， 当 算法 返回 0 时 ， 我 们 不 能 确定 属性 p 是 不 可 达 的 ， 但 是 当 它 返回 一 个 状态 序 
列 时 ， 可 以 确定 这 是 o 的 可 达 性 的 证 据 。 通 过 位 状态 散 列 可 以 搜索 的 可 达 状 态 依赖 于 表 大 
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小 的 选择 以 及 散 列 函数 。 通 过 使 用 两 位 状态 散 列 表 ， 位 状态 散 列 的 性 能 可 以 大 大 提高 ， 其 

中 每 位 有 一 个 独立 的 散 列 函数 : 为 了 插 人 状态 ， 两 个 散 列 表 中 对 应 位 都 设置 为 1， 并 且 成 

员 测 试 检查 两 个 散 列表 中 对 应 于 输入 状态 的 位 是 否 都 是 1。 

练习 3. 10: 考虑 图 2-2 所 示 的 反应 式 构件 Switch。 它 有 多 少 个 可 达 状 态 ? 请 画 出 对 应 迁移 系统 的 可 达 子 图 。 

练习 3. 11: 为 了 节省 内 存 ， 有 时 要 修改 on-the-fly 深度 优先 搜索 算法 ， 使 它 不 存储 任何 状态 。 也 就 是 说 ， 
我 们 通过 删除 集合 Reach 来 修改 图 3-16 的 算法 ,并且 当 遇 到 一 个 状态 时 ， 没 有 测试 来 检查 该 
状态 之 前 是 否 被 访问 过 ， 这 种 搜索 方式 叫 作 无 状态 搜索 。 说 明 算 法 的 部 分 正确 性 仍然 被 保 
持 : 定理 3.2 的 断言 1) 和 2) 继续 成 立 。 但 是 ， 对 终止 性 (定理 3. 2 的 断言 3)) 有 何 影响 ? 

练习 3. 12" : 广度 优先 搜索 算法 首先 检查 所 有 的 初始 状态 ， 然 后 检查 初始 状态 的 所 有 后 继 状态 ， 以 此 类 
推 。 为 了 实现 这 样 的 算法 ， 我 们 需要 关于 迁移 系统 表示 的 两 个 函数 : 1)Initstates 返回 
给 定 迁 移 系 统 的 初始 状态 列表 ; 2)succStates 返回 迁移 系统 中 给 定 状 态 的 后 继 状态 列表 。 
这 样 的 描述 对 于 有 限 分 支 的 迁移 系统 是 合理 的 ， 即 ， 迁 移 系 统 的 初始 状态 数 是 有 限 的 ， 并 
且 每 个 状态 只 有 有 限 多 个 后 继 状 态 。 给 定 一 个 有 限 分 支 的 迁移 系统 和 属性 pg， 提出 一 种 
广度 优先 搜索 算法 来 检查 p 在 了 中 是 否 是 可 达 的 ， 并 精确 地 说 明 它 的 正确 性 和 终止 保证 。 


3.4 符号 搜索 


因为 不 变量 验证 问题 是 计算 难 问题 ， 所 以 我 们 不 要 期 望 能 够 找到 一 种 有 效 的 可 扩展 的 
解决 方案 。 但是， 在 实践 中 ， 启 发 式 方法 能 够 对 许多 不 变量 验证 问题 起 到 较 好 的 效果 。 其 
中 一 种 这 样 的 启发 式 方法 是 基于 迁移 系统 的 符号 可 达 性 分 析 。 符 号 搜索 算法 不 是 一 次 显 式 
地 处 理 一 个 状态 ， 而 是 处 理 通过 约束 表示 的 状态 集合 。 例 如 ， 对 于 整数 变量 z， 约 束 
20S 299 FA AWA AN 80 个 状态 中 的 集合 {20，21，…，99}。 这 样 的 符号 表示 很 简洁 ， 通 过 
适当 的 操作 ， 可 以 修改 符号 表示 ， 就 能 够 提出 一 种 解决 不 变量 验证 问题 的 符号 搜索 算法 。 


3.4.1 符号 迁移 系统 


在 符号 分 析 方 法 中 ， 初 始 状态 和 迁移 能 够 通过 公式 来 表示 ， 即 在 初始 化 和 更 新 时 要 遵 
循 的 布尔 值 表 达 式 约束 。 

初始 化 和 迁移 公式 

对 于 带 有 状态 变量 S 的 迁移 系统 T， 初 始 化 可 以 通过 状态 变量 S 的 布尔 表达 式 mw KH 
示 。 那 么 ， 初 始 状 态 集 合 包 含 了 满足 该 表达 式 的 状态 。 让 我 们 回顾 迁移 系统 GCD, n) 
(如 图 3-1 所 示 )， 它 是 对 应 于 计算 最 大 公约 数 函 数 god 的 程序 ， 它 有 3 个 状态 变量 zx、y 
和 mode。 初 始 化 公式 是 z=mA y= 二 nAmode 二 loop。 

为 了 将 迁移 描述 Trans 表示 为 一 个 公式 ， 我 们 需要 将 迁移 之 前 的 状态 变量 的 值 与 迁移 
之 后 的 状态 变量 的 值 相 关联 。 对 于 变量 vw， 我们 使 用 v 来 表示 v 的 迁移 后 (primed) 版 本 ， 
v 与 v 的 类 型 相同 。 这 个 目的 复制 版 本 用 于 获取 迁移 后 的 值 。 使 用 这 个 约定 ， 通 过 状态 变 
E S 和 对 应 于 目的 状态 变量 S' 的 布尔 表达 式 pr 来 表示 迁移 描述 。 

让 我 们 一 步 一 步 地 为 GCD 程序 创建 一 个 迁移 公式 。 3-1 的 扩展 状态 机 有 两 个 模式 
切换 ， 一 个 迁移 对 应 于 其 中 一 个 切换 执行 。 因 此 ， 迁 移 公 式 是 两 个 公式 的 析 取 ， 每 个 模式 
切换 贡献 一 个 析 取 项 。 让 我 们 先 来 关注 自 循环 。 

考虑 赋值 语句 z :=x 一 y。 该 语句 转换 为 逻辑 公式 x 二 z+ 一 y， 该 逻辑 公式 将 z 的 更 新 
值 与 x Aly 的 旧 值 相关 联 。 假 设 “一 个 不 显 式 更 新 的 状态 变量 保持 不 变 ” 需 要 通过 逻辑 公 
式 中 的 显 式 的 约束 来 获得 。 因 此 ， 对 应 x 一 y 的 公式 是 (zx = 二 x 一 y) 和 人 (y =y, Hh y 隐 含 
不 变 。 条 件 语句 “if(z 之 then 工 :一 工 一 ”由 下 式 获得 : 
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(t>y) A (x =zx—-y) A G’=Yy) 

这 样 的 公式 对 系统 的 状态 对 进行 评 佑 ， 其 中 第 一 个 状态 用 来 获取 变量 x Aly 的 值 ， 第 
二 个 状态 用 来 获取 x M y OA. 4 SC) > sy) H tlr)=slz)— sly) H ty) =s(y) it, RK 
态 对 (s， 几 准确 地 满足 该 迁移 公式 。 注 意 ， 如 果 我 们 简单 地 删除 合 取 项 y =y, BARK 
代表 的 意思 将 不 是 我 们 想 要 的 意思 ， 当 zx 二 y 成 立时 ， 变 量 y 可 能 够 被 更 新 为 任意 值 。 

RADIA “if(a>y)thenz'*=x—yelse y 一 y 一 Z” 对 应 于 公式 办 它 是 两 种 
情况 的 析 取 : 

[(z> y AG =2-y AO H=MIVIACS WD AG’ 三 了 一 站 AG’ =D) 

以 上 将 条 件 语句 映射 为 迁移 公式 模式 是 典型 的 ,公式 是 各 种 情况 的 析 取 ， 其 中 每 种 情 
况 是 条 件 和 对 应 于 这 个 条 件 的 更 新 的 合 取 。 

对 于 GCD 程序 的 自 循环 ， 守 卫 条 件 是 (z 二 0 人 y 盖 0)， 模 式 切 换 是 从 模式 loop AE 
自身 。 因 此 ， 自 循环 对 迁移 公式 的 贡献 是 公式 yh : 

“[(a>0) A (y>0) A (mode = loop A ¢ A (mode = loop) ] 

从 loop 到 stop 的 模式 切换 的 贡献 可 以 用 同样 的 方式 来 计算 。 特 别 地 ， 更 新 代码 
“if(x 二 0)then z :二 y” 转 换 为 公式 : 

[@=O0 AG’ c= WY Ma = yrs Aay =y I] 
并 且 这 个 模式 切换 对 迁移 公式 的 贡献 是 公式 p: 
[=r >0Ay>0) A (mode = loop) A Y A (mode = stop)] 

迁移 系统 GCDim, n)WIWBIEBAK or 是 : WVre~ 

这 种 类 型 的 迁移 关系 规约 称 为 声明 的 。 不 像 更 为 熟悉 的 操作 类 型 可 以 指定 语句 的 执行 顺 
序 ， 声 明 的 规约 只 能 保持 变量 的 旧 值 和 新 值 之 间 的 约束 。 与 赋值 不 同 ， 赋 值 作 为 一 种 可 操作 
的 和 可 执行 的 描述 ， 同 样 ， 它 是 声明 的 和 逻辑 的 规约 ,左边 和 右边 没有 太 大 的 差别 。 特 别 
地 ， 表 达 式 z=z 一 y 和 zz 一 > 一 民 是 逻辑 等 价 的 ,= 正确 表示 相同 的 约束 。 同 样 ， 由 于 逻辑 合 
取 是 可 交换 的 ， 所 以 公式 (zx 二 zx 一 y) 作 (y =) SO! =y) A =2— RAT AMAR 

反应 公式 

对 于 通过 同步 反应 式 构 件 描 述 的 迁移 系统 ， 迁 移 系 统 的 符号 化 描述 能 够 通过 与 对 应 的 
反应 式 构件 类 似 的 符号 描述 来 获得 。 对 于 同步 反应 式 构件 ， 可 以 通过 状态 变量 公式 p 来 
进行 初始 化 ， 通 过 (原始 的 ) 状 态 变 量 ( 即 循环 开始 时 的 状态 ) 输 入 和 输出 变量 以 及 迁移 后 状 
态 变 量 ( 即 循环 执行 结束 时 的 状态 ) 公 式 gr 来 描述 它 的 反应 。 

让 我 们 回顾 第 一 个 反应 式 构件 Delay, WE 2-1 所 示 。 对 于 构件 Delay 的 初始 化 公 
hg 是 zx 二 0。 注 意 ， 如 果 我 们 想 描 述 z 的 初始 值 是 0 或 者 1， 那 么 对 应 的 初始 赋值 x := 
choose{0，1} 是 通过 每 个 状态 满足 常量 1 来 获得 的 。 实 际 上 ， 基 于 约束 的 或 者 声明 的 类 
型 能 够 更 方便 地 描述 非 确定 性 。 

对 于 构件 Delay， 反 应 公式 gr 是 

(out = x) A (z’ = in) 
它 包含 了 旧 状 态 、 输 入 、 输 出 和 更 新 状态 之 间 的 关系 。 通 常 ， 带 有 状态 变量 S、 输 入 变量 
I 和 输出 变量 O 的 构件 C 的 反应 公式 gr 是 变量 SUIUOUS 上 的 公式 。 对 于 构件 C 的 状 
AS s 和 上 、 输 入 ;和 输出 o， 当 使 用 状态 s AS 中 的 变量 赋值 、 使 用 输入 i 为 1 中 的 变量 赋 
值 、 使 用 输出 o 为 O 中 的 变量 赋值 、 使 用 状态 上 为 S$ 中 对 应 的 目的 变量 赋值 时 ， 当 满足 公 


式 gr 时 ，s -vt 是 构件 C 的 反应 。 
给 定 同步 反应 式 构件 C 的 符号 描述 ， 能 够 简单 地 获得 对 应 迁移 系统 工 的 符号 描述 。 工 


62 第 3 章 





的 初始 化 公式 与 C 的 初始 化 公式 相同 。 我 们 知道 ， 对 于 状态 s 和 +， 当 存在 一 个 输入 i 和 
输出 o 使 得 “ot EC 的 一 个 反应 时 ，(s， 力也 的 确 是 了 的 迁移 。T 的 迁移 和 C 的 反应 之 
间 的 关系 能 够 使 用 逻辑 公式 的 存在 量化 运算 来 很 好 地 表示 o 

如 果 f 是 变量 集合 V 上 的 布尔 公式 ，z 是 V 中 的 变量 ,那么 zx. f 是 集合 V\ {xz} 上 
的 布尔 公式 。 如 果 gq 能 够 通过 将 某 个 值 赋 给 zx 来 满足 f 来 扩展 ， 则 V\ {zx} 上 的 值 q 满足 
量化 公式 zx. f， 也 就 是 说 ， 对 于 V\ {xz} 中 的 每 个 变量 y， 在 V 中 存在 值 s WE s= 
和 s(wW=q(y). PM, MR A y 是 布尔 变量 ,那么 公式 x. (zy) 只 表示 了 对 变量 y HA 
W, CHAR y 相等 ( 即 当 y 被 赋值 1 时 ，3 zx. (x 人 yy) 等 于 1)。 同 样 ， 公 式 3 x. (zx Vy) 等 
于 1( 即 这 个 公式 等 于 1i1， 且 与 y 的 值 独立 )。 

对 应 构件 Delay 的 迁移 系统 的 迁移 公式 是 

Jin. Jout. [Cout = x)] A (x = in)] 

由 于 无 论 z 和 zz“ 的 值 是 什么 ， 这 个 公式 都 能 被 满足 ， 所 以 该 公式 简化 为 逻辑 常量 1。 
这 反映 一 个 事实 : 对 于 这 个 迁移 系统 ， 每 个 状态 对 之 间 都 有 一 个 迁移 。 

更 一 般 地 ， 如 果 公 式 gr 是 构件 C 的 反应 公式 ， 那 么 通过 存在 量化 所 有 的 输入 和 输出 
ABH AT. JO. gr， 就 能 够 获得 对 应 迁移 系统 的 迁移 公式 or. 

作为 另 一 个 例子 ， 考 虑 图 2-5 所 示 的 构件 TriggeredCopy. MARAE nat 类 
型 的 xz， 初始 化 公式 是 z= 二 0， 反 应 公式 是 : 

(in? A out =in A zx =2z+1) V (7 in? A out =| A r= zx) 

假设 ( 当 输 入 事件 未 发 生 时 ， 构 件 的 状态 保持 不 变 且 没有 输出 ) 作 为 一 个 单独 的 情 

况 一 一 在 反应 公式 显 式 地 获得 。 对 应 的 迁移 公式 通过 存在 量化 输入 和 输出 变量 来 获得 : 
Jin,out. [(in? A out = in A z =2x+1) V (~in? Aout=|Az =2)] 
该 迁移 公式 可 简化 为 逻辑 等 价 公式 : 
(x =2+1) V (z =z) 

组 合 符号 表示 

在 2. 3 节 中 ， 我 们 研究 了 如 何 通过 输入 /输出 变量 重 命名 、 并 行 组 合 和 输出 隐藏 等 运 
算 将 复杂 构件 组 合 起 来 。 产 生 的 构件 的 符号 描述 能 够 从 原始 构件 的 符号 描述 中 获得 。 我 们 
用 方 框图 来 说 明 图 2-15 所 示 的 构件 DobleDelay. 

变量 的 重 命 名 能 够 用 来 创建 构件 的 实例 ， 使 得 不 同 构件 的 状态 变量 之 间 没 有 名 字 冲 
突 ， 输入 /输出 变量 的 公共 名 表示 输入 /输出 连接 。 给 定 原始 构件 的 初始 化 和 反应 公式 ， 实 
例 化 构件 对 应 的 公式 能 够 通过 变量 名 文本 替换 获得 。 例如， 构件 Delayl 是 从 构件 Delay 
获得 的 ， 通 过 将 状态 变量 x 重 命名 为 xz! 和 将 输出 out 重 命 名 为 temp, Delayl 的 初始 化 
公式 是 zi = 二 0， 反 应 公式 是 (temp 二 x1) 信 (xi 二 in)。 同 样 ，Delay2 的 初始 化 公式 是 x= 
0， 反 应 公式 是 (out==xz) A (xs 二 temp)。 

考虑 两 个 兼容 的 构件 C 和 Ce WE pi 和 gi 分 别 是 构件 C AC. 的 初始 化 公式 ， 那 
么 积 构件 C |C 的 初始 化 公式 就 是 合 取 g Agi. XA. AR gi 约束 构件 Ci 的 状态 变量 
的 初始 值 ， 公 式 gi 约束 构件 C; 的 状态 变量 的 初始 值 。 同 样 ， 如 果 o Me, 分 别 是 构件 C 
和 C; 的 反应 公式 ， 那 么 积 构件 C |C 的 反应 公式 就 是 合 取 oi Apro HKU: 在 同步 
组 合 中 ， 如 果 通 过 s、i、o 和 z 等 变量 赋予 的 值 与 这 两 个 原始 构件 的 反应 描述 一 致 ， 那 么 
关于 输入 i 的 组 合 状 态 能 够 反应 将 状态 更 新 为 + 的 输出 o。 

在 我 们 的 例子 中 ， 通 过 Delayl 和 Delay2 组 合 的 构件 有 状态 变量 {zx:，z:}、 输 出 变 
量 {temp，out}、 输 入 变量 {in)、 初 始 化 公式 zi 二 0A zz 二 0 和 反应 公式 
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temp = z; A xz; = in A out = x, A x; = temp 

如 果 > 是 构件 C 的 输出 变量 ， 那 么 我 们 可 以 使 用 隐藏 保证 y 不 再 是 从 外 部 观察 的 输 
出 。 产 生 的 构件 C\y 的 初始 化 公式 与 构件 C 的 初始 化 公式 相同 。 如 果 or 是 构件 C 的 反 
MAK, 那么 产生 的 构件 的 反应 公式 是 Ay. pr。 在 我 们 的 例子 中 ， 如 果 我 们 隐藏 了 De- 
lay1||Delay2 的 中 间 输 出 temp; 那么 我 们 得 到 期 望 的 复合 构件 DoubleDelay。 它 的 初 
始 化 公式 是 : 

a 三 0Az =0 
反应 公式 是 : 
J temp. (temp = x, A z; = in A out = z} A x, = temp) 
该 式 可 以 简化 为 等 价 的 公式 : 
zi =in A out=2, A z2 = 2; 

为 了 获得 与 构件 DoubleDelay 相对 应 的 迁移 系统 的 迁移 公式 ， 我 们 可 以 从 使 用 存在 
量化 上 式 的 变量 in 和 out。 产 生 的 迁移 公式 等 价 于 : 1252. 
练习 3. 13: 考虑 练习 3. 1 描述 的 迁移 系统 Mult(m，n)， 请 用 初始 化 和 迁移 公式 对 该 迁移 系统 进行 符号 

描述 。 
练习 3. 14: 考虑 图 2-2 中 的 作为 扩展 状态 自动 机 的 构件 Switch 的 描述 。 请 给 出 与 构件 switch 对 应 的 
初始 化 和 反应 公式 。 以 尽 可 能 简单 的 方式 给 出 与 迁移 系统 对 应 的 迁移 公式 。 
练习 3.15": 令 两 个 相互 兼容 的 反应 式 构件 C 和 C; 分 别 具 有 反应 公式 of 和 pg2。 我 们 已 经 知道 C |C 
HEMARA gpr. Bor 和 gi 分别 是 与 迁移 系统 Cl MC, 对 应 的 迁移 公式 。 我 们 能 否 
得 出 对 应 于 积 构件 C |C 的 迁移 系统 的 迁移 公式 是 oh Ng? 请 验证 你 的 答案 。 


3.4.2 符号 广度 优先 搜索 


在 为 不 变量 验证 提出 符号 算法 前 ， 让 我 们 确定 符号 搜索 所 需要 的 操作 。 

区 域 上 的 操作 

我 们 将 符号 表示 的 状态 集 称 为 区 域 (region)。 给 定 一 个 类 型 变量 集合 V，V 上 的 状态 
集合 表示 为 reg 类 型 的 区 域 。 在 具有 状态 变量 S 的 迁移 系统 的 符号 表示 中 ， 初 始 状态 用 S 
上 的 区 域 来 表示 ， 迁 移 用 SUS' 上 的 区 域 来 表示 。 我 们 已 经 研究 了 基于 变量 的 布尔 公式 表 
示 的 这 样 的 一 个 特定 实例 。 虽 然 使 用 公式 描述 有 利于 理解 符号 算法 ,但 只 要 执行 以 下 讨论 
的 原 语 ， 算 法 就 能 用 于 任何 选择 。 

区 域 的 数据 类 型 reg 支持 以 下 操作 : 

e 给 定 区 域 A 和 B，Disj(A，B) 返 回 包含 在 A 中 或 者 B 中 的 状态 的 区 域 。 

e 给 定 区域 A 和 B，conj(A，B) 返 回 同时 包含 在 A 和 B 中 的 状态 的 区 域 。 

e 给 定 区 域 A 和 B，Diff(A，B) 返 回 包含 在 A 中 但 不 在 B 中 的 状态 的 区 域 。 

e 给 定 区 域 A， 如 果 区 域 A 不 包含 状态 ， 则 IsEmpty(A) 返 回 1; 否则 返回 0。 

e 给 定 区 域 V 上 的 A 和 变量 集 XCV，Exists(A，X) 返 回 投射 到 变量 V\X 上 的 区 

域 A。 当 上 存在 一 个 值 :， 使 得 通过 组 合 s 和 t 获得 的 V 上 的 值 在 A 中 时 ,结果 


包含 VANAX ERs. 
e 给 定 变 量 V 上 的 区 域 A、 在 V 中 的 变量 列表 X= {zi ，…，z,) 和 不 在 V 中 的 变量 
列表 Y 了 =={y1，…，y,}， 使 得 每 个 变量 y 与 对 应 的 变量 x; 有 相同 的 类 型 ，Rename 


(4A，X，Y) 返 回 通过 重 命名 zi; Hy 而 获得 的 区 域 。 因 此 ， 当 A 上 存在 一 个 值 ;， 
E Cy =s GE, e, n), iz(z) 二 s(z)( 对 于 V\X 上 的 所 有 变量 习 时 ， 结 
果 包 含 在 变量 (VUY)NX 上 的 值守 。 
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图 像 计算 

符号 搜索 的 核心 是 图 像 计算 : 给 定 状态 变量 上 的 区 域 4， 我 们 想 要 计算 包含 所 有 状态 
的 区 域 ， 这些 状 态 能 够 通过 使 用 一 个 迁移 从 A 中 的 状态 到 达 。 通 过 使 用 操作 交集 、 重 命名 
和 存在 量词 ， 能 够 实现 期 望 的 操作 Post， 如 下 所 述 。 给 定 区 域 A， 我 们 首先 将 它 与 
Trans 联合 ，Trans 是 包含 了 所 有 迁移 的 未 目的 状态 和 目的 状态 变量 上 的 区 域 。 交 集 Conj 
(A, Trans) SUS 上 的 区 域 ， 该 区 域 包含 了 所 有 起 源 于 A 中 状态 的 迁移 。 那 么 我 们 通过 
存在 量化 S 中 的 变量 ， 将 结果 投射 到 目的 状态 变量 的 集合 S 上 。 结 果 是 一 个 包含 某 些 状态 
的 区 域 ， 这 些 状态 能 够 通过 一 个 迁移 从 A 中 的 状态 到 达 。 但 是 ， 它 是 目的 变量 上 的 一 个 区 
域 。 重 命名 每 个 目的 变量 x 为 x， 将 得 到 期 望 的 区 域 Post), 


符号 图 像 计算 











考虑 一 个 具有 状态 S 和 通过 SUS’ 上 的 区 域 Trans 给 出 的 迁移 规约 的 迁移 系统 。 
给 定 S 上 的 区 域 A， 区 域 A 的 后 像 定 义 为 
Post(A,Trans) = Rename(Exists(Conj(A, Trans) ,S),S’,S) 
它 也 是 S 上 的 区 域 ， 它 精确 地 包含 了 这 样 一 些 状 态 1: 对 于 A 中 的 某 一 状态 *， 有 迁移 
5 











图 像 计 算 的 例子 
作为 一 个 例子 ， 假 设 系统 有 一 个 real 类 型 的 变量 ， 迁 移 区 域 由 公式 x' =22+1 KE 
(该 公式 对 应 于 等 式 工 二 2z 十 1)。 考 虑 公式 0 二 x 二 10 给 定 的 区 域 A。 在 图 像 计算 的 第 一 
步 ， 我 们 将 AG Trans KA, GB KM Oe <10 Ar 一 2z 十 1。 应 用 z 的 存在 量词 并 
简化 结果 ， 我 们 得 到 1 委 z' 科 21。 验 证 在 执行 赋值 x :一 2z 十 1 后 1 过 x 二 21 确实 描述 了 x 
的 所 有 可 能 值 ， 假 设 在 执行 赋值 前 Oa <10 描述 了 z 的 所 有 可 能 值 。 
第 二 个 例子 ， 考 虑 具有 两 个 整数 变量 x 和 y 的 迁移 系统 。 假 设 系统 的 迁移 对 应 于 执行 
语句 : 
if(y>O)then.2t=2+lelse y= y— l 
这 条 语句 转换 为 下 面 的 迁移 公式 : 
Ey 0 Ae =24+1D ACY = WIV EG’ = DIAG’ =y-1)] 
考虑 由 公式 2 二 zx 一 y 达 5 描述 的 迁移 系统 的 区 域 A。 为 了 计算 这 个 区 域 的 后 像 ， 将 它 
与 迁移 公式 连接 起 来 ， 得 到 
[oy >O A (ae = 241) AG’ =y A C<a-y<5)] 
VEGSO Ae’ =a) A Wy =y-D A QS x-y<5)] 
如 果 我 们 从 这 个 公式 用 存在 量化 变量 z， 那 么 我 们 得 到 
[y>0) At’ =y A CGS<zr—1—y<)] 
Viw<0 AG’ =y-)D NOA = y5] 
现在 ， 让 我 们 从 这 个 公式 存在 量化 变量 >， 得 到 
Ky > 0 NKR Ly a vE H L A 2S 2'—y’-1<5)] 
通过 将 2 Aly 分别 重 命 名 为 zx 和 yy， 并 进行 一 些 简化 ， 得 到 
(3<24—y<6) 人 A(y 尖 0) 
作为 区 域 A 的 后 像 。 
考虑 2. 4. 1 节 中 的 同步 反应 式 构件 3Bitcounter( 如 图 2-27 所 示 )。 该 构件 有 两 个 输 
和 人 变量 inc 和 start, WR 3 个 输出 变量 outo, out, 和 out* 。 令 对 应 于 3 位 的 3 个 锁 存 器 的 
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状态 变量 是 x。、 志 和 二。 构件 的 反应 公式 on SF: 
outo = To A out; = x2, A out, = 2 A 
(start = T A ze =0 A z1 =0A25=0) V 
(start = 0 A inc = 0 A ro =m Nri =r Nt =n) V 
(Sr 二 了 全 
这 个 公式 表示 了 这 样 的 约束 : 每 个 输出 位 out FS CARD RA 2; 相同 ， 并 且 或 者 1) 输 
A start 是 高 ， 并 且 所 有 的 更 新 状态 位 是 0; 或 者 2) 两 个 输入 都 是 低 ， 并 且 状 态 保 持 不 变 ; 
或 者 3) 输 入 start 是 低 ，inc 是 高 ， 并 且 计 数 器 递增 。 计 数 器 的 递增 条 件 是 : 最 低位 out, Bk 
转 ， 中 间 位 outi 的 新 值 是 两 个 最 低位 的 异 或 (用 操作 符 田 表示 ) ， 最 高 位 out HMMA out, 
的 旧 值 与 其 他 两 位 的 合 取 的 异 或 。 对 于 对 应 的 迁移 系统 ， 迁 移 公 式 gr 是 
jinc, start, out, ,outl ,Out, » gr 
简化 为 
£ EN = Of 2 =0 A 2 = OY V 
=a Nar =e ho =a N 
ep Sm A tr eo Ot A = Ga A Oz] 
现在 考虑 由 公式 2 =0 A250 GEN KMA, HRB. KM A 包含 了 两 个 最 低位 
都 为 0 的 状态 ， 但 是 最 高 位 可 能 是 0 或 者 1。 为 了 计算 这 个 区 域 的 图 像 ， 首 先 将 它 与 迁移 
公式 or 联合 ， 联 合 后 的 公式 简化 为 
NN WV 
存在 量化 旧 的 状态 变量 r 并 简化 结果 ， 我 们 得 到 ci 二 0。 最 后 ， 重 命名 目的 变量 为 未 
目的 变量 ,得 到 区 域 zi 二 0。 这 就 可 以 正确 地 获得 3 位 计数 器 的 一 次 循环 的 执行 效果 : 区 
域 {000，100} 的 后 继 集合 是 {000，001，100，101) 。 
图 像 迭代 计算 
现在 ,我 们 准备 描述 符号 广度 优先 搜索 算法 。 图 3-18 所 示 的 算法 从 初始 区 域 开 始 ， 
通过 反复 地 应 用 图 像 计 算 ， 计算 可 达 状 态 集 连 续 近 似 。 区 域 Reach 存储 了 目前 找到 的 可 达 
状态 集合 ， 区 域 New 代表 新 找到 的 可 达 状 态 。New 的 连续 值 获 得 可 达 状 态 所 需 的 最 小 迁 
pp itp minis ay italian SRE le PRS SE re 
这 些 状态 s， 其 中 从 初始 状态 到 达 ;的 最 ' ae i 
短 执行 包含 了 j 个 迁移 。 开 始 时 ， 区 域 输出 : 如 果 w 是 可 达 的 ， 返 回 1， 否 则 返回 0 
Reach 和 New 都 要 设置 为 Init。 如 果 cn ay 
New 中 任意 状态 满足 属性 Q» 即 区 域 while IsEmpty (New) =0 dof 
New 和 的 交集 是 非 空 的 ,那么 算法 稳 | L2 IsEmpty (con Meng) <0 then retorn 1 
止 。 如 果 区 域 New 是 空 的 ， 那 么 算法 就 


Reach := Di sj (Reach, New); 


终止 ， 并 报告 没有 满足 属性 g( 即 否定 属 } 


> 
return 0. 


性 一 p BAER MARA. Ail. A 






了 在 下 一 步 找到 可 达 状 态 ， 算 法 将 Post 图 3-18 用 于 可 达 性 分 析 的 符号 宽度 优先 搜索 算法 
态 。 在 算法 的 连续 迭代 中 区 域 Reach 的 


操作 符 应 用 于 区 域 New， 并 使 用 区 域 上 
(ech ZS reach, reach, 
值 如 图 3-19 所 示 。 


的 集合 差 操作 来 删除 这 些 已 知 可 达 的 状 
为 了 说 明 符 号 广度 优先 搜索 算法 是 图 3-19 可 达 状 态 的 符号 广度 优先 搜索 计算 
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如 何 工作 的 ， 让 我 们 回顾 与 构件 RailRoadSystem2 相对 应 的 迁移 系统 (如 图 3-15 所 示 ) 。 
首先 ，Reach 二 New 二 Init 二 {aa00rr}。 在 循环 的 一 次 迭代 后 ， 
Reach= {aa00rr ,walO0gr ,wwllrg ,awOlrg} 
New= {walO0gr ,wwllrg ,aw0lrg } 
在 循环 的 第 二 次 迭代 后 ， 
New = {balO0gr ,bwllrg ,abOlrg ,wbllrg} 
在 循环 执行 的 第 三 次 迭代 后 ，Reach 包含 所 有 的 9 个 可 达 状 态 ， 并 且 New 等 于 {aw01rr})。 
在 第 四 次 迭代 后 ，New 变 为 空 ， 并 且 Reach 保持 不 变 。 因 此 ， 算 法 停止 。 
如 果 符 号 广度 优先 搜索 算法 终止 那么 它 的 答案 是 正确 的 。 如 果 属 性 g 是 可 达 的 ， 并 
且 最 短 证 据 包 含 j 个 迁移 ， 那 么 在 while 循环 的 j 次 迭代 后 ， 算 法 终止 。 如 果 属 性 是 不 可 
达 的 ， 那 么 只 有 当 它 在 有 限 次 迭代 后 发 现 了 所 有 可 达 的 状态 后 ， 算 法 才能 够 终止 。 如 果 T 
的 可 达 状 态 数 是 有 限 的 ， 那 么 它 是 有 保证 的 。 
定理 3. 3( 可 达 性 的 符号 广度 搜索 ) 给 定 迁 移 系 统 了 的 符号 描述 和 属性 mp， 图 3-18 所 
示 的 符号 广度 优先 搜索 算法 有 以 下 的 保证 : 
D 如 果 算 法 终止 ， 那么 返回 值 正确 地 表明 属性 pp 在 TT 中 是 否 是 可 达 的 。 
2) 如 果 属 性 gp 在 迁移 系统 TT 中 是 可 达 的 ， 那 么 算法 在 while 循环 的 j 次 迭代 后 终止 ， 
其 中 7 是 到 g 的 可 达 性 的 最 短 证 据 的 长 度 。 
3) 如 果 存 在 一 个 自然 数 7 了， 使 得 本 的 每 个 可 达 状 态 经 过 至 多 j 个 迁移 的 执行 后 仍 是 可 
达 的 ， 那 么 在 while 循环 的 至 多 j KERE, Hkk, 
区 域 的 符号 表示 的 自然 选择 是 公式 。 特 别 地 ， 对 于 只 有 布尔 变量 的 迁移 系统 ， 可 以 使 
用 布尔 变量 的 公式 作为 区 域 的 数据 类 型 。 诸 如 Disj 和 Conj 这 样 的 操作 分 别 对 应 于 析 取 
和 合 取 这 样 的 逻辑 连接 词 。 为 了 对 区 域 A 和 B 作 集 合 差 操 作 ， 我 们 可 用 AAR B 的 非 。 
变量 重 命 名 对 应 于 文本 替换 。 最 后 ， 存 在 量词 删除 Exists(A, x), MFA VA, H 
中 并 是 布尔 变量 ， 公 式 Au 是 通过 将 变量 z 的 每 个 值 都 替换 为 0 而 获得 的 ， 公 式 Ai 是 通过 
将 工 的 每 个 值 都 替换 为 1 而 获得 的 。 所 有 这 些 操作 能 够 单独 地 通过 公式 有 效 地 实现 。 然 
m. E IsEmpty(A) 对 应 于 检查 公式 A 的 可 满足 性 ， 即 是 否 存 在 一 个 0/1 赋值 给 布尔 变 
E, EKARA 的 值 为 1。 这 个 测试 需要 花费 大 量 的 计算 。 当 A 有 布尔 变量 和 逻辑 连接 词 
否定 、 合 取 和 析 取 ， 但 没有 存在 量化 时 ， 这 是 一 个 标准 的 NP 完全 问题 ， 称 为 命题 可 满足 
性 或 者 SAT。 此 外 ， 在 图 3-18 中 的 符号 算法 的 迭代 广度 优先 搜索 的 情况 下 ， 将 区 域 
Reach 和 New 表示 为 公式 的 主要 缺点 是 : 没有 一 种 方法 可 以 保证 对 表示 每 一 步 的 可 达 状 
态 的 公式 进行 简化 。 这 些 公 式 将 越 来 越 复杂 ， 因 为 应 用 在 while 循环 的 每 一 次 迭代 操作 以 
及 它们 的 大 小 将 随 着 迭代 次 数 旦 指数 增长 。 在 下 一 节 讨 论 有 序 二 叉 判 定 图 的 数据 结构 时 将 
提供 了 一 种 可 能 的 弥补 方法 。 
练习 3. 16: 考虑 一 个 迁移 系统 的 符号 图 映像 计算 问题 ， 该 系统 具有 实数 值 变 量 «My, 迁移 描述 由 公式 
Zz 二 zx 十 1 作 y 一 工 给 出 。 假 设 区 域 A 通过 公式 OSAA yT 描述 。 请 计算 描述 A 的 后 像 的 
AX. 
练习 3. 17: 考虑 一 个 具有 两 个 整数 变量 x 和 y 的 迁移 系统 工 。 系 统 的 迁移 对 应 于 执行 语句 : 
if(a< y)then z = zx + y else y= y+1 
写 出 捕获 系统 迁移 关系 的 基于 变量 zz、y、z 和 yy 的 迁移 公式 。 考 虑 用 公式 0 过 x5 描述 的 上 
述 迁 移 系 统 的 区 域 A。 请 计算 描述 A 的 后 像 的 公式 。 
练习 3. 18" : 图 3-18 所 示 的 符号 广度 优先 搜索 算法 是 一 种 前 向 搜索 算法 ， 它 通过 反复 地 应 用 图 像 计 算 操 
作 Post， 计算 从 初始 状态 可 达 的 状态 集合 。 使 用 符号 操作 ， 如 Conj、Rename 和 Ex- 
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ists, 定义 前 像 计算 Pre, 使 得 给 定 区 域 A，Pre(A，Trans) 是 S 上 的 区 域 ，S 包含 状态 
s: WEEB, D, 1 是 A 中 的 一 个 状态 。 为 不 变量 验证 问题 提出 后 向 搜索 算法 ， 它 从 违 
反 期 望 的 不 变量 的 状态 开始 ， 通 过 反复 地 应 用 前 像 计 算 操 作 符 Pre 计算 能 够 到 达 违 反 状 态 
的 状态 集合 。 

练习 3. 19" : 假设 我 们 想 要 修改 图 3-18 所 示 的 符号 广度 优先 搜索 算法 ， 使 得 当 它 发 现 属性 是 可 达 的 
时 ， 它 输出 一 个 执行 证 据 。 为 此 ， 对 区 域 还 需要 哪些 操作 ? 使 用 这 些 操作 ， 修 改 算法 ， 以 
便于 它 输出 执行 证 据 。 


3.4.3 约 简 有 序 二 又 判定 图 ” 、 


约 简 有 序 二 叉 判 定 图 (ROBDD) 为 布尔 变量 (或 等 价 的 布尔 函数 ) 公 式 提供 了 一 种 紧凑 
的 和 标准 的 表示 方法 。 

有 序 二 叉 判 定 图 

令 V 是 一 个 包含 & 个 布尔 变量 的 集合 。VY 上 的 布尔 公式 S 表示 从 boo1* 到 bool My MH 
数 。 对 于 YY 上 的 变量 xz， 下 式 ， 称 为 变量 zx 的 查 农 展开 式 (Shannon expansion), 

f=oarn flz-0]V @A Fr) 

成 立 。 其 中 ， 公 式 fla 0] 和 fla > 1 是 使 用 常量 0 和 1 来 分 别 替 换 公 式 f 的 变量 xz 而 
得 到 的 。 公 式 fla OJA fla > 1] 不 是 变量 z 的 函数 ， 而 是 具有 域 boo1 生 :的 布尔 函数 。 
因此 ， 香 农 展开 式 能 够 用 于 递归 地 简化 布尔 函数 。 这 种 方法 可 将 布尔 函数 描述 为 判定 图 。 

一 个 (二 叉 ) 判 定 图 是 有 向 无 环 图 ， 它 具有 两 种 类 型 的 顶点 : 终止 顶点 和 内 部 顶点 。 终 
止 顶 点 没有 出 边 ， 并 标记 为 一 个 布尔 常量 0 或 者 1。 每 个 内 部 顶点 标记 为 Y 上 的 一 个 变 
量 ， 并 有 两 条 出 边 : 左边 和 右边 。 对 于 每 个 变量 zx， 从 内 部 顶点 到 终止 顶点 的 每 一 条 路 径 
最 多 包含 一 个 标记 为 zx 的 顶点 。 每 个 顶点 u 表示 一 个 布尔 函数 fw). MV 中 所 有 变量 给 
定 值 g， 通 过 遍历 从 u 开始 的 路 径 获 得 布尔 函数 f(z) 的 值 。 对 于 标记 为 z 的 内 部 顶点 v， 
如 果 g(Cz) 是 0， 那么 选择 o 的 左 后继 ; 如 果 gq(z) 是 1， 那么 选择 wv 的 右 后 继 。 如 果 路 径 在 
标记 为 0 的 终止 顶点 上 终止 ， 那么 根据 赋值 v， 函 数 f(w) 的 值 为 0; 如 果 路 径 在 标记 为 1 
的 终止 顶点 终止 ， 那 么 根据 qg， 函 数 f(w) 的 值 为 1。 

有 序 ( 二 又) 判定 图 (OBDD) 也 是 判定 图 ， 在 图 中 我 们 对 变量 V 选择 线性 顺序 二 ， 它 要 
求 内 部 顶点 的 标记 在 顺序 上 与 顺序 二 是 一 致 的 。 注 意 ， 没 有 要 求 每 个 变量 要 在 从 根 到 终止 
顶点 的 路 径 上 以 顶点 标记 的 方式 出 现 , 但 是 ,根据 顺序 二 ， 从 根 到 终止 顶点 的 顶点 标记 序 
列 是 单调 递增 的 。 通 过 将 布尔 公式 与 每 个 顶点 相关 联 定义 OBDD 的 语义 。 定 义 的 形式 化 描 
述 如 下 。 


有 序 二 叉 判 定 图 

令 和 是 一 个 布尔 变量 的 有 限 集合 ， 且 二 是 V 上 的 总 顺序 。 在 (V， 王 ) 上 的 有 序 三 
又 判定 图 包括 : 

1) 顶点 : 将 顶点 的 有 限 集合 U 分 成 两 个 集合 : 内 部 顶点 U' 和 终止 顶点 UT. 

2) 根 : U 中 有 一 个 根 顶 点 zw 。 

3) 标记 : 标记 函数 label HV 中 的 变量 标记 每 个 内 部 顶点 ， 并 用 常量 {0，1} 来 标 
记 每 一 个 终止 顶点 。 

4) Ad: 左 子 顶 点 函数 left 将 每 个 内 部 顶点 u 映射 为 顶点 left(u)， 使 得 如 果 left) 
是 内 部 顶点 ， 那 么 label(w) 过 label(left(w))。 
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5) 右边 : 右 子 顶点 函数 right 将 每 个 内 部 顶点 w 映射 为 项 点 right(u)， 使 得 如 果 
right(w) 是 内 部 顶点 ， 那 么 label(w) 二 label(right(w))。 
对 于 这 样 的 OBDD， 每 一 个 顶点 在 V 上 都 有 一 个 相关 联 的 布尔 公式 : WR u 
终止 顶点 ， 则 f(w) 二 label(u)， 否 则 它 等 于 
C> labellu) A fCleft(u))] V [Llabel(u) A f(right(u))] 
与 OBDD B 相关 联 的 布尔 公式 1(B) 是 与 根 w 相关 联 的 公式 w). 


布尔 常量 通过 包含 标记 为 常量 的 单个 终止 顶点 的 OBDD 来 表示 。 图 3-20 是 公式 (x 人 
y) V(x" 人 yy ) 的 一 个 可 能 的 OBDD， 其 顺序 为 x- 二 y<x' 二 y 。 左 边 用 空心 圆圈 结尾 的 箭头 
表示 ， 右 边 用 实心 圆圈 结尾 的 箭头 表示 。 实 际 上 ， 图 3-20 的 OBDD 是 一 棵 树 。 如 图 3-21 
显示 了 具有 相同 变量 顺序 的 相同 公式 ， 是 一 种 更 为 紧凑 的 OBDD 描述 。 














图 3-20 (zxzAy)V (lz Ay) 的 有 序 二 叉 树 


同 构 和 等 价 

如 果 对 应 标记 图 是 同 构 的 ， 那 么 这 两 个 OBDDB 和 C 
也 是 同 构 的 。 如 果 布 尔 公 式 SDA f(C) 是 等 价 的 ， 那 么 
这 两 个 OBDD B FIC 也 是 等 价 的 。 因 此 ， 同 构 意 味 着 两 个 
OBDD 的 结构 相同 ， 等 价 意味 着 两 个 OBDD 的 语义 相同 。 
显然 ， 同 构 的 OBDD 描述 了 相同 的 公式 ， 因 此 它们 是 等 价 
的 。 但 是 它 的 逆 并 不 成 立 : 图 3-20 和 图 3-21 的 有 序 二 叉 图 3-21 Ay) V (x 人 y) 的 有 序 
判定 图 不 是 同 构 的 ， 但 它们 是 等 价 的 。 A re Pa A 

St AA MAES th aT A SA. WR B ECV, <) EM OBDD, u Æ BATH 
点 ， 那 么 包括 了 从 KAS AW u AR te CV, <) EAN OBDD。 在 图 3-20 
中 ， 以 顶点 vo 为 根 的 子 图 是 一 个 OBDD， 它 表示 布尔 公式 x Ay’. WR OBDD BFL u All v 
为 根 的 子 图 是 同 构 的 ， 那 么 它 的 顶点 & 和 ww 也 是 同 构 的 。 同 样 ， 如 果 OBDD B PL u H vH 
根 的 子 图 是 等 价 的 ， 那么 顶点 4 和 ww 也 是 等 价 的 。 因 为 OBDD 是 无 环 图 ， 所 以 同 构 的 概念 能 
够 用 以 下 规则 定义 1) 如 果 label(w) 二 label(vw)， 那 么 两 个 终止 顶点 和 wv 是 同 构 的 ; 2) 如 果 
label(w) 二 label(v)、 左 后 继 left(u) 和 left(w) 同 构 且 右 后 继 right) A right(z) 同 构 ， 那 么 两 个 
内 部 顶点 也 是 同 构 的 。 在 图 3-20 中 ， 所 有 标记 为 0 的 终止 顶点 之 间 都 是 同 构 的 。 以 顶点 ww、 
v 和 vs 为 根 的 子 图 是 同 构 的 。 相 反 ， 顶 点 w 和 vs 之 间 不 是 同 构 的 。 

约 简 有 序 二 叉 判定 图 

约 简 有 序 二 又 判 定 图 (ROBDD) 可 以 通过 反复 应 用 下 面 两 个 步骤 从 OBDD 获得 : 
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1) 将 同 构 的 项 点 合并 为 一 个 。 

2) 删除 带 有 相同 的 左 孩 子 和 右 孩 子 的 内 部 顶点 。 

在 保持 等 价 性 的 同时 ， 每 一 步 都 减少 了 顶点 的 数量 。 例 如 ， 考 虑 图 3-20 所 示 的 OBDD. 
Av, Alu 是 同 构 的 ， 能 够 删除 它们 中 的 一 个 ， 例 如 删除 n WR oy 为 根 的 子 树 ， 并 重 向 
定 顶 点 w 的 右边 到 vuo ME, KAMA o 的 两 条 边 都 指向 vw， 所 以 可 以 删除 ,并 重 定向 
根 w 的 左边 到 vw。 继续 这 种 方式 ， 就 可 以 获得 图 3-21 所 示 的 ROBDD。 该 过 程 表明 ， 上 述 的 
变换 方式 足以 获得 一 个 规范 形式 : 应 用 约 简 规则 得 到 的 最 终 ROBDD 与 约 简 的 序列 无 关 ， 并 
且 如 果 我 们 对 两 个 非 同 构 但 等 价 的 OBDD 进行 约 简 ， 我 们 得 到 相同 的 ROBDD。 


\ 








约 简 有 序 二 又 判定 图 
在 布尔 变量 的 总 序 集合 (V， 一 ) 上 的 ROBDD 是 (V， 二 ) 上 的 有 序 二 又 判定 图 B= 
(U, u’, label, left, right), (79: 


1) U 中 没有 两 个 不 同 的 顶点 ww Mu, 满足 label(w) =label(v). left(w) =left(v) All 
right(u)=right(v), H 
2) 对 于 每 个 内 部 顶点 w， 两 个 子 项 点 label(w) 和 right(w) 是 不 同 的 顶点 。 


ROBDD 的 直接 构造 : 一 个 例子 
让 我 们 考虑 布尔 公式 





oa V7 N Cy V z) 
并 假设 变量 顺序 为 zx<><z。 我 们 试图 直接 构造 一 个 ROBDD， 而 不 是 首先 建立 一 个 OB- 
DD， 然 后 再 使 用 两 个 约 简 规 则 对 它 进行 约 简 。 图 3-22a 阐述 了 构造 过 程 的 第 一 步 ， 它 描述 
了 用 变量 工 标记 的 根 顶 点 wo。 注意 ， 根 顶点 必须 标记 为 工 ， 因 为 工 是 选择 顺序 中 的 第 一 个 
变量 ， 并 且 公式 p 的 值 依 赖 于 z 的 值 。 顶 点 mw 的 左 后 继 应 该 是 一 个 顶点 ， 比 如 说 wv， 它 
表示 公式 gi 二 goLx ~ 0]， 该 式 可 以 简化 为 一 yA 人 z; 顶点 v 的 右 后 继 应 该 是 一 个 顶点 ， 比 
如 说 uo., ERRAR p= ple — 1]， 该 式 可 以 简化 为 yV =z. 





a) b) 
图 3-22 XCA y) V (zr Ay) 构 造 ROBBD 


顶点 vi 对 应 于 公式 p: myAz, 并且 因为 变量 y 是 选择 顺序 中 的 下 一 个 变量 ， 所 以 
顶点 o 标记 为 y。 它 的 左 后 继 应 该 是 一 个 顶点 ， 比 如 说 v8， 它 代表 公式 piLy 0]， 该 式 
与 公式 = 等 价 ; 顶点 o 的 右 后 继 应 该 是 一 个 代表 公式 oly 一 1] 的 顶点 ， 该 式 等 于 常量 0， 
因此 它 一 定 是 一 个 终止 顶点 。 

与 顶点 v 对 应 的 ROBDD 代表 公式 p: yV xz， 该 式 是 使 用 与 顶点 相同 的 逻辑 得 到 
的 (如 图 3-22b 所 示 )。 顶 点 o 标记 为 变量 >， 它 的 左 后 继 应 该 是 一 个 代表 公式 gz [Ly 一 0] 
的 顶点 ， 它 与 公式 = 等 价 。 因 为 顶点 vs 已 经 代表 公式 zo 并且 约 简 规 则 要 求 共享 越 多 越 
好 ， 所 以 顶点 v 的 左 子 顶点 必须 是 v. WMA v 的 右 后 继 应 该 是 一 个 代表 公式 oly 一 1] 
顶点 ， 它 等 于 常量 1， 因 此 它 一 定 是 一 个 终止 项 点。 

最 后 ， 对 应 于 公式 = 的 顶点 ws 标记 为 >， 终 止 顶 点 0 作为 它 的 左 后 继 ， 终 止 顶 点 1 作 


110 


112 


70 第 3 例 





为 它 的 右 后 继 。 这 就 完成 了 公式 p 的 期 望 ROBDD， 如 图 3-22c 所 示 。 

ROBDD 的 属性 

下 面 定 理 断 言 使 用 ROBDD 表示 布尔 函数 的 基本 事实 。 每 个 布尔 函数 都 有 一 个 唯一 
的 、 同 构 的 、 可 表示 为 ROBDD 的 图 。 此 外 ， 一 旦 我 们 确定 了 变量 顺序 ， 在 同一 个 布尔 函 
数 的 所 有 OBDD 中 ， 它 的 ROBDD 具有 最 少 的 顶点 数 。 

定理 3. 4(ROBDD 的 存在 性 、 唯 一 性 和 最 小 性 ) 设 V 是 一 个 变量 集合 ， 二 是 V 上 的 
总 序 。 

1) 如 果 是 信 上 的 布尔 公式 ， 那 么 在 (V， 二 ) 上 存在 一 个 ROBDD B, 使 得 f(B) 和 ff 
是 等 价 的 。 

2) wR BHC 是 (V， 二 ) 上 的 两 个 ROBDD， 那 么 刀 和 C 是 等 价 的 当 且 仅 当 它们 是 同 
构 的 。 

3) ~RBRV, <)EH—4 ROBDD 且 C 是 (V， 志 ) 上 的 一 个 OBDD， 使 得 它们 是 
等 价 的 ， 那 么 C 包含 的 顶点 数 至 少 与 BB 的 一 样 多 。 

检查 两 个 具有 相同 变量 顺序 的 ROBDD 的 等 价 性 来 检查 这 两 个 图 的 同 构 性 ， 因 此 ， 人 能 
够 在 顶点 数 的 线性 时 间 内 完成 。 布 尔 常量 0 用 具有 标记 为 0 的 单个 终止 顶点 的 ROBDD 来 
表示 ， 布 尔 常 量 1 用 具有 标记 为 1 的 单个 终止 顶点 的 ROBDD 来 表示 。 由 ROBDD B 表示 
的 布尔 公式 是 可 满足 的 当 且 仅 当 B 的 根 不 是 标记 为 0 的 终止 顶点 。 由 ROBDD B 表示 的 布 
KAREA RH HIL B 的 根 是 一 个 标记 为 1 的 终止 顶点 。 这 样 ， 如 果 使 用 ROBDD 表 
示 ， 检 查 布尔 公式 的 可 满足 性 或 有 效 性 就 变 得 特别 简单 了 。 

布尔 公式 的 ROBDD 表示 的 大 小 可 能 是 变量 数 的 指数 级 。 表 示 给 定 公式 的 ROBDD 的 
大 小 依赖 于 变量 顺序 的 选择 。 考 虑 公式 (z=y) Al =y). A 3-23 显示 了 两 个 不 同 变量 
顺序 的 两 个 ROBDD。 这 个 例子 说 明 顺 序 能 够 极 大 地 影响 图 的 大 小 : 一 个 顺序 可 能 产生 一 
个 大 小 与 变量 数 成 线性 关系 的 ROBDD， 然 而 另 一 个 顺序 可 能 产生 一 个 大 小 与 变量 数 成 指 
数 关 系 的 ROBDD。 虽 然 选择 一 个 最 优 的 变量 顺序 会 导致 呈 指 数 关系 的 内 存 空 间 节省 ， 但 
是 一 个 优化 的 变量 顺序 求解 却 是 一 个 计算 难 问题 。 





顺序 : x<y<x'<y' 顺序 : x<x'<yp<y 


图 3-23 (zAyV(zAy) 的 两 个 ROBBD 


ROBDD 表示 的 布尔 函数 并 不 依赖 于 选择 的 顺序 ， 并 且 当 不 考虑 顺序 时 ， 某 些 函 数 的 
ROBDD 表示 的 大 小 与 变量 数 呈 指数 关系 。 前 者 的 例子 是 奇偶 函数 ， 而 后 者 是 乘法 函数 : 
e 奇偶 性 。 给 定 布尔 变量 集合 V 中 的 一 个 赋值 *， 当 满足 s(Cz) 一 1 的 变量 z 的 个 数 是 
偶数 时 ， 奇偶 函 数 返 回 1。 如 果 和 包含 & 个 变量 ， 那 么 不 考虑 选择 的 顺序 ， 奇 偶 函 
数 的 ROBDD 包含 2k+1 个 顶点 。 
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© RK. PEDRERA (To, > Tris Yos ts yer} OKXj<K2k), Mult, 表示 布 
尔 函 数 ， 它 表示 了 两 个 上 位 输入 的 乘积 的 第 & 位 一 个 编码 为 zx 位 ， 另 一 个 编码 为 y 
位 。 对 于 变量 的 每 个 顺序 二 ， 描 述 所 有 函数 Mult; 的 ROBDD 中 的 顶点 总 数 一 定 是 
随 着 有 呈 指 数 增长 。 更 具体 地 说 ,创建 了 下 面 的 下 界 结 界 : 存在 一 个 索引 OK< 
2k， 使 得 Mult, 的 ROBDD 至 少 有 2 好 个 顶点 。 

ROBDD 的 共享 数据 结构 

让 我 们 把 注意 力 集中 到 ROBDD 的 实现 区 域 。ROBDD 的 每 一 个 顶点 都 是 以 那个 顶点 
为 根 的 一 个 ROBDD。 这 表明 一 个 ROBDD 能 够 用 全 局 数据 结构 的 一 个 索引 来 表示 ， 该 数 
据 结构 存储 了 所 有 的 顶点 ， 使 得 任意 两 个 顶点 都 不 是 同 构 的 。 与 将 每 个 ROBDD 存储 为 单 
独 的 数据 结构 不 同 ， 该 模式 有 两 个 显著 的 优点 。 首 先 ， 检 查 同 构 性 ， 因 此 等 价 性 对 应 于 比 
较 索 引 ， 并 且 不 需要 遍历 ROBDD。 其 次 ， 两 个 非 同 构 的 ROBDD 可 能 有 同 构 的 子 图 ， 因 
此 ， 它 们 可 以 共享 项 点 。 

设 VW 是 一 个 有 上 个 布尔 变量 的 有 序 集合 。ROBDD 的 类 型 是 bad， 它 要 么 是 布尔 常量 
(表示 终止 顶点 )， 要 么 是 一 个 指向 全 局 数据 结构 BDDPool 中 项 的 指针 。BDDPool 的 类 型 
是 set (bddnode)， 它 存储 ROBDD 的 (内 部 ) 顶 点 。 内 部 顶点 记录 变量 标记 ， 它 的 类 型 为 
nat[L1,， &]， 取 值 范 围 是 {1 ，…，&} 的 数字 ， 它 有 bdd 类 型 的 一 个 左 指针 与 一 个 右 指针 。 
因此 ，RPBDD 的 顶点 的 类 型 为 pddnode， 它 等 于 nat[1, k&]XbddXbdd。 类 型 bdd- 
node 支持 如 下 操作 :; 

o 操作 Label(W)， 对 于 内 部 顶点 w， 返 回 的 第 一 个 构件 ， 它 是 标记 为 u 的 变量 的 数字 。 

o 操作 Left(u)， 对 于 内 部 顶点 uw， 返回 的 第 二 个 构件 ， 它 要 么 是 一 个 布尔 常量 ， 

要 人 么 是 一 个 指向 的 左 后 继 的 指针 。 

o 操作 Right(u)， 对 于 内 部 顶点 uw， 返回 的 第 三 个 构件 ， 它 要 人 么 是 一 个 布尔 常量 ， 
要 么 是 一 个 指向 的 右 后 继 的 指针 。 

类 型 set (bddnode)， 除 了 支持 常用 的 操作 (如 Insert 和 Contains) 外 ， 它 也 支持 
如 下 操作 ， 

e 对 于 BDDPool 的 内 部 顶点 ，Index(w) 返 回 一 个 指向 的 指针 。 

e 对 于 指针 B，BDDPool[ Bj 操作 返回 B 指向 的 顶点 。 

对 于 这 样 的 表示 : 给 定 一 个 bad 类 型 


function AddVertex 


的 指针 B, 我们 用 4(B) 来 表示 与 B 指向 | input: 交 量 标记 j 在 nat [1, 及 中 ,ROBDD B, B 是 bdd 类 型 


的 与 ROBDD 相关 的 布尔 函数 。 为 了 避免 Pr iN BERS) 等 于 (-—x,Af(By)) V 


在 操作 ROBDD 的 时 重复 出 现 同 构 的 顶 if B,=B,then return Bo 

点 ， 需 要 使 用 图 3-24 所 示 的 AddVertex if Contains ((j, By, B,), BDDPool) = 0 then 

函数 来 创建 新 的 顶点 。 如 果 在 调用 Add | mse, (U Be B, BDDPoD: 

Vertex 函数 前 ， 全 局 集合 BDDPool 中 没 

有 两 个 顶点 是 同 构 的 ， 那么 即使 在 调用 cs ei 

Ja» BDDPool 中 也 没有 两 个 顶点 是 同 构 的 。 
作为 一 个 说 明 性 的 例子 ， 我 们 来 检查 

3-25 中 的 全 局 数据 结构 BDDPool 的 快 

照 。 每 行 表 示 存 储 在 这 个 数据 结构 中 的 一 

个 内 部 顶点 。 例 如 ，ROBDD B, 指 向 标记 


为 变量 五 的 顶点 ， 它 的 左 后 继 是 终止 顶点 图 3-25 数据 结构 BDDPool 的 说 明 性 快照 
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0， 右 后 继 是 终止 顶点 1; ROBDD B, 指 向 标记 为 变量 zi 的 顶点 ， 它 的 左 后 继 是 终止 顶点 
0， 右 后 继 是 ROBDD B;。 与 每 个 顶点 对 应 的 布尔 函数 如 下 所 示 : 
fB) = x 
f(B,) = Xe VX 
f(B,)= 723 V z; 
fB) = a, N Cr: V z4) 
FEBE wy 
可 以 看 到 ，ROBDD B, 和 B, 共享 ROBDD B, 。 
ROBDD 上 的 操作 
为 了 创建 给 定 布尔 公式 的 ROBDD 表示 ， 实 现 符号 可 达 性 算法 的 原 语 ， 我 们 需要 一 种 
方式 来 计算 ROBDD 的 合 取 和 析 取 。 我 们 给 出 了 一 种 递归 算法 来 获取 ROBDD HAR. W 
法 如 图 3-26 所 示 。 


Input: bdd B, B’ 
Output: bdd 8 使 得 f(B”) = Ff(B) A/B’) 


table [ (bdd x bdd) x bdd] Done = EmptyTable 
return Conj(B, B’) 


bdd Conj (bdd B, B’) 
bddnode u, u’; bdd B”, Bo B,, Bo Bi; nat[l, k] jj’ 


if (B=0VB'=1)then return B; 

if (B=1VB'=0)then return BY 

if B =B’ then return B; 

if Done [ (B, B’)] # L then return Done [(B, B’) ]; 

if Done [(B’, B)] # L then return Done [ (B’, B) ]; 

u := BDDPool [B]; u':= BDDPool [2]; 

j:= Label (u); B,:= Left (u); B, := Right (u); 

j':= Label (u’); Bj := Left (u’); Bi := Right (u); 

if j=j'then B":= AddVertex (j, Conj (B, Bj) , Conj (B,, BY) ); 
if j<j' then B’:= AddVertex (j, Conj (By, B’), Conj (B,, B9); 
if j>j' then B":= AddVertex ( j’, Conj (B, Bj), Conj (B, B!) ) ; 
Done [ (B, B’) ] := B”; 

return 8” 





K 3-26 ROBDDS 合 取 的 算法 


考察 两 个 ROBDD，B 和 B ,假设 我 们 希望 计算 合 取 4(B) 信 Af(B')。 如 果 它 们 中 的 一 
个 是 布尔 常量 ， 那 么 可 以 立刻 得 到 结果 。 例 如 ， 如 果 B 是 终止 常量 0， 那么 合 取 的 结果 也 
是 终止 常量 0。 如 果 B 是 终止 常量 1， 那 么 合 取 等 价 于 f(B')， 因 此 算法 结果 能 够 返回 B'。 
同样 ， 当 两 个 ROBDD 相同 时 ， 我 们 能 够 使 用 fA 了 总 是 等 于 了 的 事实 ,因此 计算 结果 与 
输入 参数 一 致 。 

有 趣 的 情况 是 ， 当 两 个 ROBDD 是 两 个 指向 不 同 内 部 顶点 (如 w Mu ) 的 指针 。 设 7 为 
标记 x 和 w' 的 索引 的 最 小 值 。 那 么 zx; 是 f(u) 人 了 f(w) 函 数 能 够 依赖 的 最 小 变量 。 合 取 的 
根 的 标记 为 i， 左 后 继 为 (fC(w) Af Cr; 一 0] 的 ROBDD， 右 后 继 为 (fw) A fQ@’)) La; 一 
1] 的 ROBDD。 让 我 们 考虑 左 后 继 。 观 察 等 价 公式 : 

Cf A Fa Lz ~ 0] = fz; ~0] A fu’) [x + 0] 
如 果 妈 标记 为 i， 那 么 f(u)[x; — 0] ROBDD È u 的 左 后 继 。 如 果 之 的 标记 超过 了 7， 
那么 fo RRM F z FFA f(w)[z; +0] ROBDD 是 xx 本身。 以 类 似 的 方式 计算 f(x ) 
[zi 一 0] 的 ROBDD， 那么 根据 上 述 表达 式 ， 可 以 递归 地 应 用 函数 Con 来 计算 合 取 。 
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让 我 们 应 用 这 种 模式 来 计算 图 3-25 所 示 的 ROBDD B, Al B, 。 对 应 于 B: 的 顶点 有 标记 
sy 左 后 继 0 和 右 后 继 B, , 而 对 应 于 B, 的 顶点 有 标记 Fix 左 后 继 0 和 右 后 继 Bz, 因此 ， 
Conj(B; .B,) = AddVertex(1,Conj(0,0) ,Conj(B, ,B,)) 

使 用 了 常量 ROBDD 的 规则 调用 函数 Conj(0，0) 返 回 0。 为 了 计算 B 和 B: HAR, 
算法 检查 对 应 的 顶点 : 对 应 于 Bi 的 顶点 有 标记 zz 、 左 后 继 Bu 和 右 后 继 1， 而 对 应 于 B: 
的 顶点 有 更 高 的 标记 zs 。 这 就 能 够 推导 出 ，; 

Conj(B, ,B,) = AddVertex(2,Conj(B,,B;),Conj(1,B,)) 
该 式 又 生成 了 对 函数 Conj 的 两 次 递归 调用 : 当 其 中 一 个 参数 是 常量 时 ， 第 二 次 调用 Conj 
(1，B:) 使 用 约 简 规 则 立即 返回 答案 `B: 。 第 一 次 调用 Conj (Bu ，B: ) 需 要 检查 对 应 顶点 : 
对 应 于 Bo 的 顶点 有 标记 z,， 而 对 应 于 Be 的 顶点 有 标记 x3、 左 后 继 1 和 右 后 继 Bu。 这 就 
能 够 推导 出 : 

Conj(Bi,B,) = AddVertex(3,Coni(B, ,1),Conj(B, ,B,)) 

在 这 种 情况 下 ， 两 次 对 Conj 的 递归 调用 都 立即 返回 : Conj(B。，1) 返 回 B。， 使 用 同 
一 个 ROBDD 的 合 取 规则 ，Conj(B。，B。) 也 返回 B,。 因 此 ， 调 用 就 变 成 AddVertex(3, 
B,。，B,)。 此 时 不 会 创建 新 的 顶点 ， 因 为 约 简 规则 不 允许 左 后 继 和 右 后 继 都 是 相同 的 。 调 
用 AddVertex(3，B,，B,) 简 单 地 返回 Bo: 

Conj(B,,B;,) = AddVertex(3,B,,B,) = By 

FRE, K% Conj(B,, B,) HH AddVertex(2, Bo, B,). M45) BDDPool 没有 包 
含 标记 2 的 顶点 、 左 后 继 B。 和 右 后 继 B;。 因 此 ，AddVertex 将 创建 一 个 索引 为 Bs 的 新 
数据 项 (2，B。，B,): 

Conj(B, ,B,) = AddVertex(2,B,,B,) = B; 

最 后 ， 函 数 Conj(B;, B,) HAA AddVertex(1, 0, B;). mH, BDDPool 没有 包含 这 
样 的 顶点 ， 所 以 创建 一 个 索引 为 Be 的 新 数据 项 ; 并 且 它 是 期 望 的 结果 ， 即 ， 由 B, 和 B 
表示 的 函数 的 合 取 的 ROBDD 表示 : 

Conj(B;,B,) = AddVertex(1,0,B;) = Bs 

避免 重复 计算 

上 述 的 递归 算法 利用 相同 的 两 个 参数 反复 地 调用 函数 Conj。 为 了 避免 不 需要 的 计算 ， 
用 一 个 表 来 存储 参数 和 每 次 Conj 调用 的 结果 。 当 用 两 个 参数 B 和 了 “调用 函数 Conj 时 ， 它 
首先 查询 该 表 来 检查 f(B) 和 f(B') 的 合 取 是 否 在 前 面 已 经 计算 过 了 。 只 有 第 一 次 执行 实 
际 的 递归 计算 ,结果 存储 在 该 表 中 。 

数据 结构 table 存储 可 以 通过 主键 进行 索引 的 值 。 如 果 存 储 的 值 的 类 型 是 value， 
索引 主键 的 类 型 是 key， 那 么 表 的 类 型 是 tableLkeyXvalue]。 这 个 数据 类 型 像 数组 
一 样 支持 检索 和 更 新 操作 : DLA 是 存储 在 表 DD 中 主键 的 值 ， 并 且 赋 值 DLA] =m 更 新 
存储 在 表 DPI ERA RW. WHR EmptyTable 在 每 个 主键 上 有 默认 值 | 。 表 示 通 
过 数组 或 者 散 列表 来 实现 。 算 法 使 用 一 对 ROBDD 作为 主键 和 将 ROBDD 存储 为 值 来 使 
用 表 。 

让 我 们 分 析 图 3-26 中 算法 的 时 间 复 杂 度 。 假 设 B 指向 的 ROBDD 有 nn 个 顶点 ，B' 指 
向 的 ROBDD 有 x 个 顶点 。 假 设 集合 BDDPool 的 实现 支持 常数 时 间 成 员 测 试 和 插入 ， 表 
Done 支持 常数 时 间 创 建 、 访 问 和 和 更新。 那么 在 每 次 Conj 调用 中 ， 除 了 递归 调用 外 ， 所 有 
的 步骤 在 常数 时 间 完 成 。 因 此 ， 在 常数 因子 内 ， 算 法 的 时 间 复 杂 度 与 Conj 调用 的 总 数 是 
一 样 的 。 对 于 任意 对 顶点 ， 函 数 Con 只 在 第 一 次 调用 Conj 时 ， 用 这 对 顶点 作为 输入 产生 
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两 次 递归 调用 ， 并 且 在 后 序 的 调用 过 程 中 0 次 递归 调用 。 这 就 得 出 了 算法 总 时 间 复 杂 度 为 
Omen’), 

定理 3.5 (ROBDD 的 合 取 ) 给 定 两 个 ROBDD Bf B’, B 3-26 中 的 算法 正确 地 计 
# FCB) A f(B') 的 ROBDD。 如 果 B 指向 的 ROBDD 4 n AMS, B’ HHH ROBDD F n 
个 顶点， 那么 算法 的 时 间 复 杂 度 是 OGz。7m)。 

可 以 提出 类 似 的 算法 实现 其 他 的 操作 ， 如 Disj (逻辑 析 取 )、Diff( 差 集 ) 和 了 xists 
(存在 量化 )。 

使 用 ROBDD 的 符号 搜索 

我 们 现在 已 经 有 使 用 ROBDD 表示 区 域 的 机 制 来 实现 符号 搜索 算法 。 我 们 已 经 讨论 过 
如 何 构 造 一 个 迁移 系统 的 符号 描述 作为 初始 化 和 迁移 公式 w 和 9pr。 如 果 源 描述 中 的 所 有 
变量 都 是 布尔 变量 ,那么 公式 wy 和 gr 也 是 用 逻辑 连接 词 和 存在 量化 构造 的 布尔 公式 。 我 
们 能 够 使 用 我 们 已 经 讨论 过 的 操作 创建 与 这 些 公式 相对 应 的 ROBDD。 

如 果 公 式 是 形 如 z=1 的 原子 公式 ， 那 么 对 应 的 ROBDD 就 可 以 通过 调用 AddVertex 
函数 获得 的 : 如 果 变 量 工 在 变量 顺序 中 的 位 置 是 7 ， 那 么 期 望 的 ROBDD 是 AddVertex(j， 
1，0)。 如 果 公 式 f 是 fi 人 f 形式 ， 那么 我 们 首先 分 别 建立 与 公式 有 和 f 相对 应 的 (更 
简单 的 )ROBDD 图 B, 和 B,， 然 后 通过 调用 Conj(B,，B;) 获 得 f 的 ROBDD。ROBDD 的 
操作 Disj、Diff 和 Exists 可 用 来 处 理 公式 中 对 应 的 操作 : 析 取 、 否 定 和 存在 量化 。 我 们 能 
够 定义 函数 FormulaToBdd， 它 将 布尔 公式 映射 到 ROBDD: 

FormulaToBdd(z; = 1)= AddVertex(j,0,1) 
FormulaToBdd(z,; = 0)= AddVertex(j,1,1) 
FormulaToBdd( fı A f;)= Conj(FormulaToBdd¢ f, ) ,FormulaToBdd¢ f; )) 
FormulaToBdd( fı V f;)= Disj(FormulaToBdd( f, ) ,FormulaToBdd( f, )) 
FormulaToBdd( — f) = Diff(1,FormulaToBdd¢ f)) 
FormulaToBdd( 4 X. f)= Exists(FormulaToBdd( f) , X) 

对 于 符号 不 变量 验证 ， 给 定 属性 PP， 我 们 还 需要 为 公式 g 建立 ROBDD。 然 后 我 们 就 
能 够 使 用 图 3-18 中 的 算法 进行 验证 ， 其 中 每 个 区 域 都 是 一 个 指向 存储 ROBDD 顶点 的 全 局 
数据 结构 的 指针 。 

当 所 有 系统 变量 都 是 bool 类 型 时 ， 虽然 ROBDD 能 够 直接 使 用 ， 但 它们 也 能 够 用 于 
分 析 带 有 枚 举 型 变量 或 者 通过 使 用 布尔 变量 序列 编码 的 其 他 有 限 类 型 变量 的 有 限 状 态 系 
统 。 例 如 ， 考 虑 构件 Train 的 状态 变量 mode， 该 构件 有 3 个 可 能 值 :， away, wait 和 
birdge( 如 图 3-4 所 示 )。 我 们 可 以 使 用 两 个 布尔 变量 mode, Fil mode, 对 变量 mode 编码 ， 使 
用 值 00、01 和 10 对 mode 的 3 个 可 能 值 进行 编码 。 表 达 式 mode= away 可 用 mode, =0 A 
mode, =0 来 代替 ; 表达 式 mode=wait 可 用 mode, =0 A mode, = 1 来 代替; 表达 式 mode= 
bridge 可 用 mode, =1 A mode; =0 来 代替 。 

布尔 公式 的 ROBDD 表示 是 变量 数 的 指数 ， 并 且 与 变量 顺序 有 关 。 给 定 一 个 具有 布尔 
状态 变量 S 的 系统 ， 为 了 创建 初始 化 和 迁移 公式 的 表示 ， 我 们 需要 选择 变量 集合 SUS P 
变量 的 顺序 二。 我 们 知道 图 像 计算 中 的 一 个 步骤 是 将 所 有 目的 状态 变量 重 命名 为 非 目 的 状 
态 变量 。 如 果 目 的 变量 的 顺序 与 对 应 的 非 目 的 变量 的 顺序 是 一 致 的 ， 那 么 这 个 重 命名 步骤 
能 够 通过 重 命 名 ROBDD 的 内 部 顶点 的 标记 来 实现 。 这 样 可 以 得 出 选择 顺序 二 的 第 一 条 规 
WW: 对 于 所 有 变量 zx，yES，z 二 y 当 上 且 仅 当 z 过 y 。 另 一 条 常用 的 选择 顺序 规则 是 : 规 
定 一 个 变量 只 能 排 在 它 依赖 的 所 有 变量 的 后 面 。 例 如， 当 使 用 任务 图 来 说 明 更 新 时 ， 如 
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果 任 务 A 写 状 态 变 量 z， 那 么 根据 优先 约束 ，z 应 该 在 A 和 在 A 之 前 的 任务 读 变量 后 出 
现 。 最 后 ， 彼 此 相互 关联 的 变量 应 该 聚集 在 一 起 。 特 别 地 ， 不 是 将 所 有 目的 变量 都 排 在 
所 有 非 目 的 变量 之 后 ， 我 们 能 够 尽量 最 小 化 相互 依赖 的 目的 变量 和 非 目 的 变量 之 间 的 
距离 。 
利用 ROBDD 分 析 系 统 的 实践 工具 ， 采 用 了 大 量 的 技术 来 平衡 ROBDD 大 小 的 增长 与 
变量 数 的 关系 。 因 此 ， 使 用 ROBDD 的 符号 不 变量 验证 方法 在 分 析 工 业 规模 的 硬件 设计 和 
众人 式 控制 器 方面 已 经 取得 显著 成 功 。 但 是 ， 它 也 不 是 五 能 的 ， 基 于 ROBDD 工具 的 性 能 
仍然 是 不 可 预测 的 : 有 时 它们 能 够 在 复杂 系统 中 找到 迄今 为 止 还 未 知 的 缺陷 ; 有 时 在 创建 
的 ROBDD 顶点 数 与 可 用 的 内 存 相 比 变 得 太 大 前 ， 相 对 小 于 可 用 的 内 存 ， 广 度 优先 搜索 算 
法 只 能 够 完成 少量 的 迭代 计算 。 
练习 3. 20: 考虑 布尔 公式 
CoV) A Cae Vos) N Cay V 一 之 》 
.请 画 出 该 公式 对 应 于 变量 顺序 zy<z 的 ROBDD。 
练习 3. 21: 考虑 布尔 公式 
(x, Nar NDN TEA aa) VC A xe) 
MEE {ri ，zs，zs，zs) 中 选择 一 个 变量 顺序 ， 并 画 出 最 终 的 ROBDD。 你 能 否 通过 重新 排 
列 变量 的 顺序 来 减少 ROBDD 的 大 小 ? 
练习 3.22: WV HER (Tos Tis yor 加 ，zo，zi，c)， 请 选择 一 个 适当 的 变量 顺序 ， 并 针对 如 下 需求 构 
造 ROBDD; 输出 zızo 和 结合 进位 < 是 输入 zkzoe 和 nyo 的 和 。 
练习 3. 23" : 给 定 一 个 计算 ROBDD 存在 量化 的 算法 : 给 定 ROBDD B 和 变量 集合 X, HATE AX. fB), 
Exists(B，X) 应 该 返回 ROBDD。 
练习 3.24" : 具有 补 集 边 的 有 序 二 叉 判 定 图 (COBDD) 与 有 序 二 叉 判 定 图 
B 类似 ，B 有 能 够 将 每 一 条 右边 分 类 为 正 的 (十 ) 或 者 负 的 
(一 ) 的 额外 构件 。 对 内 部 顶点 4 的 函数 f(w) 重 新 定义 ,使 
得 : DR u 的 右边 是 正 的 ， 那么 fD = labellu) A f 
(left(w)))V Cabel(u) A f(right(w))); DUME 的 右边 是 负 
的 ， BBA f) =C labellu) A fCleft(u))) V Clabel(u) A >f 
(right(w)))。 因 此 ， 当 右边 为 负 时 ， 我们 对 与 右 后 继 相关 联 
的 函数 取 否 。 例 如 ， 在 图 3-27 中 ,标记 为 y 的 顶点 表示 函 3-27 ” 带 补 边 的 决策 图 
Hy Azs MRR AB r AN 一 (> 人 >) )。 
1) 在 相同 变量 顺序 的 情况 下 ， 有 上 比 ROBDD 表示 更 小 的 COBDD 表示 的 函数 吗 ? 
2) 我 们 可 以 定义 带 有 补 集 边 的 约 简 二 又 判定 图 C(RCOBDD) 作 为 COBDD 的 子 集 ， 使 得 每 个 
布尔 函数 都 有 一 个 唯一 的 表示 吗 ? 


参考 文献 说 明 


不 变量 和 归纳 不 变量 的 概念 是 在 20 世纪 60 年 代 提出 的 ， 在 早期 的 论文 中 形式 化 地 定 
义 了 程序 正确 性 的 概念 LHoa69]。 对 于 程序 验证 的 原理 和 工具 的 介绍 ， 我 们 建议 读者 参考 
[Lam02] 和 [BM07]。 近 年 来 ， 软 件 验 证 在 工业 项 目 中 取得 了 突出 的 成 就 ， 参 见 LBLR11， 
BBC+10, IBG+11, Holl3], 

不 变量 验证 的 有 效 on-the-fly 枚 举 搜索 是 在 20 世纪 80 年 代 提 出 的 ， 它 形成 了 模型 检 
查 器 SPIN 中 的 核心 分 析 引 警 LHol04，Hol97]( 也 可 参见 模型 检查 器 MURPHILDil96]) 。 

Bryant 提出 ROBDD 作为 布尔 函数 的 一 个 有 效 表示 LBry86]。 使 用 ROBDD 的 符号 搜索 在 
模型 检查 器 SMV 中 第 一 次 提出 ， 它 有 助 于 用 于 分 析 硬 件 协议 的 验证 工具 的 完成 LBCD 十 92， 
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McM93]( 也 可 以 参见 模型 检查 器 VIS Al NUSMV, LA ROBDD 操作 的 相关 优化 实现 
[BHSV +96, CCGR00]). 

本 章 中 许多 说 明 性 例子 借用 了 《Computer Aided Verification》( 计 算 机 辅助 验证 ) 的 草 
稿 教材 LAH99aj]。 

我 们 已 经 简单 地 提 到 了 计算 机 理论 中 的 相关 概念 ， 例 如 ， 可 判定 性 和 NP 完全 性 。 为 
了 全 面 地 介绍 这 些 内 容 ， 可 参见 LSip13] 。 
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现在 我 们 将 重点 转移 到 异步 计算 模型 ， 该 模型 不 需要 并 发 活动 从 锁 步 执行 。 这 种 模型 
通常 应 用 在 多 处 理 器 机 器 和 分 布 式 网 络 计算 平台 中 。 本 章 首先 讨论 这 种 计算 模型 的 形式 化 
方法 ， 然 后 研究 如 何 设 计 解决 异步 计算 问题 的 协调 协议 。 


4.1 异步 进程 


与 同步 反应 构 式 件 类 似 ， 异 步 进 程 通 过 输入 和 输出 与 其 他 进程 进行 交互 ， 并 维护 内 部 
状态 。 然 而 ， 执 行 过 程 并 不 是 以 循环 方式 进行 的 ， 并 且 不 同 进程 的 执行 速度 是 独立 的 。 在 
一 个 进程 中 ， 输入 的 接收 与 输出 的 产生 是 解 看 的 ， 这 与 内 部 计算 任务 消耗 的 时 间 未 知 但 是 
非 零 的 假设 相 吻合 。 

作为 例子 ， 考虑 图 4-1 所 示 的 进程 
Buffer, EA 2-1 所 示 的 同步 反应 式 构 ”bool in 
件 Delay 的 异步 模型 。 进 程 的 输入 和 输出 
变量 称 为 通道 。 进 程 Buffer 有 一 个 布尔 
输入 通道 in 和 一 个 布尔 型 输出 通道 out. 
进程 Buffer 的 内 部 状态 是 一 个 大 小 为 1 的 缓冲 区 ， 它 要 么 为 空 ， 要 么 包含 一 个 布尔 值 。 
该 内 部 状态 可 以 通过 变量 z 来 建 模 ，z 的 取 值 范围 为 枚 举 类 型 {nul11，0，1}。 最 初 缓冲 
区 为 空 。 同 步 构 件 Delay 与 异步 进程 Buffer 之 间 的 主要 区 别 在 于 它们 的 动态 规约 。 进 
程 Buffer 有 两 种 可 能 的 动作 。 第 一 ， 它 可 以 通过 将 输入 通道 in 中 的 输入 值 复制 到 缓冲 
区 来 处 理 它 ; 第 二 ， 如 果 缓 冲 区 不 为 空 ， 那 么 该 进程 可 以 通过 将 缓冲 区 状态 写 和 输出 通道 
out 来 输出 缓冲 区 状态 ， 然 后 将 缓冲 区 重 置 为 空 。 使 用 任务 说 明 每 一 种 动作 ， 在 每 一 步 中 
只 执行 一 个 任务 。 


4.1.1 状态 、 输 入 和 输出 


通常 ， 异 步 进程 已 通常 由 3 个 元 素 组 成 : 输入 通道 类 型 的 集合 TI、 输出 通道 类 型 的 集 
合 O 和 状态 变量 类 型 的 集合 S，3 个 集合 均 是 有 限 集合 ， 且 两 两 之 间 不 相交 ， 因 此 没有 名 
称 冲 突 。 

与 同步 反应 式 构件 的 情况 相似 ， 进 程 P 的 状态 是 状态 变量 集合 S 上 的 取 值 ， 而 状态 集合 
就 是 集合 S 所 有 可 能 值 的 集合 Qs。 初 始 化 Init 将 初始 值 赋予 S 中 的 所 有 状态 变量 。 如 前 所 
述 ， 我 们 允许 多 个 初始 值 来 刻画 只 有 一 部 分 初始 值 是 已 知 的 状况 。 对 于 每 个 状态 变量 z， 若 
fi 9(z) 与 变量 z 的 初始 化 一 致 ， 则 状态 g 称 为 初始 状态 。 初 始 状态 集合 表示 为 LInit] 。 

在 异步 计算 模型 中 ， 当 有 多 个 输入 通道 时 ， 不 同 通道 上 的 输入 值 并 不 是 同步 到 达 的 。 
因此 ， 进 程 的 输入 包括 一 个 输入 通道 x 以 及 与 通道 a 的 类 型 一 致 的 值 z。 可 以 将 该 输入 表 
示 为 xz?v。 这 样 的 输入 可 以 解释 为 在 输入 通道 zx 上 接收 值 v。 

对 输出 的 建 模 是 对 称 的 。 当 有 多 个 输出 通道 时 ， 进 程 在 每 一 步 中 只 能 为 一 个 输出 通道 
产生 输出 值 。 进 程 的 输出 包括 一 个 输出 通道 y 以 及 与 通道 类 型 一 致 的 值 z。 我 们 将 这 样 的 


{0, 1, null}x:=null 


A:xX:=in 
A,:x¥null— {out :=x;x:=null} 






bool out 






4-1 异步 进程 缓冲 区 
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输出 表示 为 y1o。 这 样 的 输出 可 以 解释 在 输出 通道 y 上 发 送 值 v。 

对 于 进程 Buffer， 状 态 变量 集合 S 二 {xz}， 输 入 变量 集合 I 二 {in}， 输 出 变量 集合 O= 
{out} ,状态 集合 为 {0，1，nul1l}， 初 始 状 态 集合 为 {null}， 输 入 集合 为 {in?0，in?1}， 
输出 集合 为 {out?70，out?1)。 


4.1.2 输入 、 输 出 和 内 部 动作 


我 们 用 任务 集 来 表示 同步 反应 式 构件 在 一 次 循环 中 的 执行 ， 其 中 单个 任务 的 执行 消耗 
计算 的 原子 单元 。 我 们 也 可 用 任务 集 来 表示 异步 进程 的 计算 。 与 以 前 一 样 ， 任 务 的 更 新 撒 
述 使 用 读 集合 中 的 变量 值 对 其 写 集合 中 的 变量 进行 赋值 ， 并 且 通 常 描述 为 包含 条 件 和 赋值 
语句 的 直线 编码 (straight-line code)。 与 同步 构件 相反 ,在 每 一 步 中 ， 蜡 步 构件 不 是 执行 
所 有 任务 ， 而 是 只 执行 一 个 任务 。 为 了 表明 任务 是 否 准备 执行 ， 我 们 明确 地 将 一 个 守卫 条 
件 与 每 个 任务 关联 。 这 些 条 件 定 义 为 状态 变量 的 布尔 公式 ， 如 果 状 态 满 足 该 公式 ， 那 么 任 
务 在 该 状态 下 就 是 使 能 的 。 如 果 有 多 个 任务 同时 是 使 能 的 ， 则 采用 非 确定 性 方式 选择 其 中 
一 个 任务 来 执行 。 由 于 不 需要 在 一 个 循环 内 对 任务 进行 排序 ， 所 以 任务 之 间 的 优先 约束 不 
再 有 意义 。 在 同步 模型 中 ， 任 务 读 和 写 的 状态 变量 的 子 集 的 细致 规约 对 识别 可 能 存在 的 写 
冲突 很 有 必要 ， 同 时 我 们 要 求 有 写 冲 突 的 任务 必须 通过 优先 约束 进行 排序 ， 以 便 在 一 个 循 
环 中 进行 调度 。 而 在 异步 模型 中 并 不 是 这 样 的 ， 我 们 假设 每 个 任务 读 和 写 所 有 的 状态 变 
量 。 为 了 保证 进程 在 每 一 步 中 或 者 接收 一 个 输入 值 或 者 发 送 一 个 输出 值 ， 我 们 要 求 每 个 任 
务 最 多 只 能 在 一 个 输入 通道 进行 读 或 者 只 能 在 一 个 输出 通道 进行 写 。 

输入 任务 

输入 处 理 称 作 输入 动作 。 在 输入 动作 中 ， 进 程 只 能 更 新 它 的 状态 ,不 能 产生 输出 。 使 
用 给 入 任务 来 说 明 输 入 动作 ， 每 个 输入 任务 与 一 个 输入 通道 相关 联 。 与 输入 通道 x 相关 联 
的 输入 任务 A 的 描述 由 Guard>Update 给 出 ， 其 中 Guard 表示 任务 在 将 在 通道 x 上 处 理 
输入 的 条 件 ，Update 表示 任务 如 何 根据 状态 变量 的 旧 值 和 在 通道 z 接收 的 输入 值 来 更 新 
状态 变量 。 语义 上 ，Guard 定义 了 集合 S 上 的 取 值 集合 [LGuard]，Update 定义 从 读 集合 
SU1{z} 的 取 值 到 写 集 合 S 的 取 值 的 对 应 关系 上 LUpdate]。 如 果 状 态 s 满足 守卫 条 件 Guard 


时 ， 则 输入 任务 A ERS s 中 是 使 能 的 。 这 种 任务 定义 了 形 为 PEL 的 输入 动作 集合 ， 
使 得 状态 s 满足 守卫 条 件 Guard 且 通 过 执行 由 输入 通道 r Wve 给 出 的 状态 s 中 的 描述 
Update 获得 状态 上， 即 如 果 se [Guard] A (sla =v], 1)E[Update]。 

对 于 图 4-1 中 的 进程 Buffer， 有 一 个 输入 任务 A;， 它 读 输入 通道 in。 该 任务 总 是 使 
能 的 ， 意 味 着 进程 总 是 可 以 接收 通道 in 上 的 输入 。 这 种 情况 下 ， 守 卫 条 件 等 于 布尔 常量 
1， 它 可 以 在 描述 中 删除 。 该 任务 使 用 赋值 x 一 in 来 更 新 状态 变量 zx。 该 任务 产生 6 个 输 


入 动作 :对 于 每 个 状态 vE {0，1， null)，s 二 ”0 和 s 一 >1。 需要 注意 的 是 ， 如 果 当 组 
冲 区 为 非 空 时 给 进程 提供 输入 值 ， 则 旧 的 状态 将 丢失 。 

通常 ， 每 个 输入 通道 + 都 有 一 个 与 它 对 应 的 输入 任务 。 如 果 没 有 与 通道 相关 联 的 输入 
任务 ， 则 进程 不 能 在 该 通道 接收 任何 输入 。 我 们 可 以 将 多 个 任务 与 同一 个 通道 相关 联 来 说 
明 该 通道 上 处 理 输入 值 的 不 同方 法 。A, 表示 与 输入 通道 z 相关 的 所 有 输入 任务 的 集合 。 
在 给 出 的 例子 中 ,A;, =A). 

输出 任务 

产生 一 个 输出 称 作 输 出 动作 。 使 用 输出 任务 来 说 明 输出 动作 ， 其 中 每 个 输出 任务 都 与 
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一 个 输出 通道 y 相关 联 。 与 输出 通道 y 相关 联 的 输出 任务 A 使 用 守卫 条 件 Guard GK ARE 
说 明 输 出 任务 准备 执行 时 所 处 的 状态 集合 ) 和 更 新 描述 Update( 该 更 新 描述 说 明 任 务 如 何 
根据 其 读 取 的 状态 变量 值 更 新 状态 变量 和 y 的 输出 值 ) 来 描述 。 因 此 ， 对 于 这 样 的 任务 ， 
LUpdate] 定 义 了 从 状态 变量 集合 S 上 的 值 到 集合 SU{y} 上 的 值 的 关系 。 给 定 满足 守卫 条 
fF Guard 的 状态 s， 可 以 执行 更 新 描述 Update 来 计算 产生 状态 t 的 状态 变量 的 新 值 ， 以 及 


在 输出 通道 y 上 发 出 的 值 w。 因 此 ， 这 样 的 任务 定义 了 输出 动作 ; 之 sr 的 集合 ， 使 得 se 
[Guard] 且 (s, sly ,~v])E[Update]。 与 输入 任务 的 情况 相似 ， 多 个 输出 任务 可 以 关联 到 
同一 个 通道 上 ， 与 输出 通道 y 相关 联 的 所 有 任务 的 集合 表示 为 A,。 

对 于 4-1 中 的 进程 Buffer， 有 一 个 输出 任务 A,， 它 表示 在 通道 out 产生 一 个 输出 。 该 
任务 的 守卫 条 件 为 + 了 null1， 表 示 输 出 任务 仅 当 缓 冲 区 包含 一 个 非 空 值 的 情况 下 是 使 能 的 。 


更 新 操作 描述 为 赋值 序列 out =r; xz :二 nul1。 这 导致 以 下 两 个 输出 动作 0 null 和 
out! 1 
nal 


内 部 任务 

作为 第 二 个 例子 ， 考 虑 图 4-2 所 示 的 进程 AsyncInc。 
该 进程 不 包含 任何 输入 或 输出 通道 ， 但 它 包含 了 两 个 状态 变 
量 x 和 y， 它 们 都 定义 为 nat 类 型 ， 且 初始 值 为 0。 由 于 进 
程 没 有 输入 和 输出 通道 ， 所 以 它 也 没有 输入 或 输出 任务 。 

使 用 内 部 动作 描述 进程 的 内 部 计算 。 这 样 的 动作 既 不 处 ”图 4-2 有 异步 进程 AsyncInc 
理 输 入 ， 也 不 产生 输出 ， 但 更 新 内 部 状态 ， 并 使 用 内 部 任务 来 描述 。 内 部 任务 A 有 一 个 布 
SY DALE Guard 和 一 个 更 新 描述 Update。 守 卫 条 件 说 明 任 务 在 该 状态 是 使 能 的 ， 更 新 
描述 说 明 任务 如 何 根据 旧 值 更 新 状态 变量 。 给 定 一 个 状态 *， 我 们 评估 守卫 条 件 Guard 来 
检查 任务 是 否 准备 执行 ， 如 果 准 备 执行 ， 则 执行 更 新 描述 Update 来 计算 导致 状态 1 WAR 


态 变量 的 新 值 。 所 以 ， 内 部 任务 说 明 内 部 动作 ;一 >t HEA. 114 se [Guard] A(s, OE 
[Update]. PRIE e 表示 在 内 部 动作 期 间 没 有 可 见 的 通信 。 

对 于 进程 AsyncInc， 通过 两 个 内 部 任务 A, MA, 来 更 新 状态 。 任 务 A, 总 是 使 能 的 
( 即 总 是 满足 守卫 条 件 ) 且 状态 变量 z 根据 更 新 代码 xz at] 不 断 在 递增 。 任务 A, 是 对 
称 的 ， 并 递增 变量 y。 进 程 的 所 有 内 部 任务 的 集合 表示 为 A4， 对 于 AsyncInc A={A,, 
A,}。 进 程 的 一 步 对 应 于 执行 其 中 一 个 任务 。 因 此 ， 内 部 动作 的 集合 针对 每 对 自然 数 z 和 7 
有 两 个 动作 Gi， 力 一 >(i 十 T， DAG, 站 一 >(i, j+). 

异步 融合 

作为 第 三 个 例子 ， 考 虑 图 4-3 中 的 进程 Merge， 它 有 两 个 输入 通道 in 和 in;， 都 是 
msg 类 型 。 该 进程 使 用 缓冲 区 来 存储 在 输入 通道 接收 的 值 ， 每 个 输入 通道 有 一 个 专用 的 组 
冲 区 。 我 们 使 用 类 型 queue 来 建立 缓冲 区 模型 : null 表示 空 队列 ; 操作 Enqueue(v, 
Zz) 将 值 添 加 到 队列 z 的 队 尾 ， 操 作 Deaueue(z) 删 除 队 列 垃 的 队 首 元 素 并 返回 队列 的 队 
首 元 素 ; 操作 Front(x) 返 回 队 列 xz 的 队 首 元 素 但 不 将 其 从 队列 中 删除 ; 操作 Empty(z) 
表示 当 队 列 x 为 空 时 返回 1， 和 否则 返回 0; 操作 Full(z) 表 示 当 队列 z 满 时 返回 1， 否则 
返回 0。 

输入 任务 Al 表示 如 何 处 理 输入 通道 in 接收 的 值 : 如 果 队 列 zi RW Min 的 值 添 
加 到 zi 的 队 尾 。 该 操作 由 守卫 条 件 Full (in, ) 和 更 新 代码 gnqueue (ini:，zi) 来 完成 。 
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queue (msg)x, := null; x := null 


A‘: > Full (x,)— Enqueue (in, x,) 





A} > Full (x,) > Enqueue (in, x,) 


Ai: > Empty (x,) — out := Dequeue (x) 


A2: > Empty (x,) > out := Dequeue (x,) 
图 4-3 异步 进程 Merge 


与 进程 Bsuffer 相 比 ， 该 进程 完成 了 不 同类 型 的 同步 操作 : 如 果 进 程 Merge 的 内 部 队列 
x, 是 满 的 ， 则 环境 或 通道 in 上 发 送 值 的 操作 将 被 阻塞 。 与 通道 in* 处 理 相 对 应 的 输入 任务 
Ai 与 任务 Ai BW. 

进程 Merge 有 两 个 输出 任务 。 任 务 A 从 队列 zi 的 首部 删除 一 个 元 素 ， 并 将 其 传送 到 
输出 通道 out。 当 队列 zx 非 空 时 这 是 可 能 的 。 因此， 该 任务 可 以 通过 守卫 条 件 一 EmptY 
(zx1) 和 更 新 代码 out :二 Dequeue(zi) 来 描述 。 任 务 As 是 对 称 的 ， 对 应 于 将 队列 zs 的 队 
首 元 素 传送 到 输出 通道 。 需 要 注意 的 是 ， 这 两 个 输出 任务 与 同一 个 通道 相关 联 ， 因 此 A 
三 {As，As}。 当 队列 x, 和 zs 为 非 空 时 ， 这 两 个 输出 任务 都 是 使 能 的 ， 并 且 可 以 执行 其 中 
Bt. 

异步 进程 的 定义 如 下 所 示 。 


异步 进程 
Hus PAA: 
o 类 型 为 输入 通道 的 有 限 集合 TI， 定 义 形 如 zx?w MMAR, HH rel, viix 
的 值 。 
类 型 为 输出 通道 的 有 限 集合 O， 定 义 形 如 y!z 的 输出 集合 ， 其 中 >yEO, vy 
的 值 。 
© 类 型 为 状态 变量 的 有 限 集合 S， 定 义 状态 集合 Qs. 
初始 化 Init， 定 义 初始 状态 集合 [Init]SQs。 
o 对 每 个 输入 通道 zx， 由 S 上 的 守卫 条 件 和 从 读 集 合 SU{z} 到 写 集 合 S 的 更 新 来 


描述 的 输入 任务 集合 4. ， 定 义 了 输入 动作 ;>t 的 集合 。 
对 每 个 输出 通道 y， 由 S 上 的 守卫 条 件 和 从 读 集合 S 到 写 集合 SU {y) 的 更 新 来 


描述 的 输出 任务 集合 A,， 定 义 了 输出 动作 se 的 集合 。 
e 由 S 上 的 守卫 条 件 和 从 读 集 合 S 到 写 集合 S 的 更 新 来 描述 的 内 部 任务 集合 A， 


定义 了 内 部 动作 ;一 >t 的 集合 。 


练习 4. 1: 设计 一 个 异步 加 法 器 进程 AsyncAdd, 该 进程 有 输入 通道 x 和 之 ， 输 出 通道 y， 三 者 都 定义 为 
nat 类 型 。 如 果 到 达 通 道 m 的 第 i 个 输入 消息 是 v， 到 达 通 道 zo 的 第 i 个 输入 消息 是 w， 则 进 
程 Asyncadd 在 它 的 输出 通道 上 输出 的 第 i 个 值 应 为 uw。 描述 进程 Asyncadd 的 所 有 构件 。 


4. 1.3 执行 


异步 进程 的 操作 语义 可 以 通过 定义 它 的 执行 来 获得 。 执 行 从 一 个 初始 状态 开始 。 在 每 
一 步 ， 选 择 当前 状态 中 的 一 个 使 能 的 任务 并 执行 ， 该 任务 可 以 是 输入 任务 、 输 出 任务 或 内 
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部 任务 。 在 每 一 步 只 能 执行 一 个 任务 ， 并 且 不 同 任务 的 执行 顺序 是 完全 不 受 限 制 的 。 这 样 
的 异步 交互 语义 称 为 交叉 语义 。 
图 4-4 显示 了 图 4-2 所 示 的 异步 进程 AsyncInc 可 能 的 执行 路 径 。 每 个 状态 是 分 别 对 
于 变量 x Aly 的 值 的 自然 数 对 (i，7) 。 状 态 (0，0) 是 唯 
一 的 初始 状态 ， 且 每 个 状态 有 两 个 可 能 的 迁移 : 一 是 对 应 
于 内 部 任务 A, 执行 的 递增 z 的 值 ; 二 是 对 应 于 任务 A, 区 t 
执行 的 递增 y 的 值 。 一 次 执行 是 图 4-4 所 示 的 从 根 开始 贯 
穿 图 的 一 条 (有 限 ) 路 径 。 注 意 ， 对 进程 AsyncInc 而 言 ， 
每 个 形 如 (i,， J) IRA ABE AGAR AS. PEGI, RAG, 
0) 通 过 执行 i 次 任务 A,， 并且 从 未 执行 任务 A, 所 得 到 
的 ， 对 应 于 图 4-4 中 的 最 左边 的 路 径 。 4-4 进程 AsyncInc 的 执行 
ae 异步 进程 PP 的 有 限 次 执行 由 如 下 形式 的 有 限 序 列 组 成 


i E T eh 
其 中 OSj<k, BE s; 是 进程 的 一 个 状态 ，so 是 了 的 初始 状态 ; 当 1<j<k 时 ，s,- ae, 
是 进程 已 的 输入 动作 、 输 出 动作 或 内 部 动作 。 
例如 ， 图 4-1 所 示 的 进程 Buffer 的 一 条 可 能 的 执行 路 径 为 : 


in?1 out!l in?0 in?1 in?1 out!1 


nul1l— 1 一 一 > null —>0—=> 1 —> 1— null 
需要 注意 的 是 ， 在 进程 Buffer 在 执行 输出 动作 前 ， 它 可 以 执行 无 限 数量 的 输入 动 
作 ， 发 出 接收 的 最 新 输入 值 。 
对 于 图 4-3 所 示 的 进程 Merge， 一 条 可 能 的 执行 路 径 如 下 所 示 ， 其 中 每 个 状态 分 别 列 
出 了 队列 2, Ma, 的 内 容 : 
out!5 


_ 
a a? Co} nul) > ([o2], nut) "> (027, [5 — (L102], nol) 


out!0 out!3 


(C02],03]) “> (E21, 031) “> c£2].nu11) —> ([20],nu11) 
状态 (L02]，[5]) 表 示 两 个 缓冲 区 都 不 为 室 ， 假 设 这 两 个 输入 缓冲 区 都 未 满 ， 则 4 个 任 


务 都 是 使 能 的 。 对 于 每 个 类 型 为 msg 的 可 能 值 v， 可 能 的 输入 动作 有 :〈[02]，[5]) 宇 们 


([02v]，[5]) 和 (CL02]，[5]) 一 >(L02]，[5v])， 分 别 由 正在 执行 的 输入 任务 A: 和 A; 获 得 。 


out!0 out!5 


可 能 的 输出 动作 有 : (C02), [5])—>cL2], (5) Aclo2], [5—02], null), 分 别 
由 正在 执行 的 输入 任务 A。 和 A。 获 得 。 
需要 注意 的 是 ， 进 程 输出 的 值 序列 表示 在 两 个 输入 通道 上 接收 的 输入 值 序列 的 融合 。 
输入 通道 in, 接收 的 值 的 相对 顺序 保存 在 输出 序列 中 ， 同 样 通道 in; 接收 的 值 的 相对 顺序 
也 保存 在 输出 序列 中 ,但 是 在 通道 in; 接收 值 前 ， 通 道 in, 接收 的 输入 值 可 能 会 稍 晚 出 现 
在 输出 通道 上 。 
在 该 例 中 ， 每 个 单独 的 任务 都 是 确定 性 的 : 对 于 任务 ， 给 定 一 个 任务 使 能 状态 ， 该 任 
务 的 执行 会 导致 在 写 集合 中 变量 的 唯一 更 新 。 然 而 ， 异 步 执行 模型 本 身 就 是 非 确定 性 的 : 
在 每 一 步 ， 选 择 其 中 一 个 使 能 任务 并 执行 它 ， 且 任务 的 执行 顺序 影响 输出 。 
练习 4.2: 设计 一 个 异步 进程 Split, CENE Merge. HH split 有 一 个 输入 通道 in， 两 个 输出 通道 
out, 和 out, 。 使 输入 通道 接收 的 消息 以 非 确 定 的 方式 路 由 到 其 中 一 个 输出 通道 中 ,使 得 输入 
流 的 所 有 可 能 的 分 裂 是 可 执行 的 。 请 描述 期 望 进 程 Split 的 所 有 构件 。 
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4.1.4 扩展 的 状态 机 


在 2.1.6 节 中 ， 我 们 使 用 扩展 的 状态 机 来 说 明 同 步 反 应 式 构件 的 行为 。 扩 展 状 态 机 也 
可 以 用 来 描述 异步 进程 的 行为 。 在 扩展 状态 机 的 描述 中 ， 有 一 个 有 限 枚 举 类 型 的 隐 状 态 变 
量 mode。 通 过 图 来 描述 该 行为 ， 其 中 图 的 顶点 对 应 于 模式 ， 图 的 边 对 应 为 模式 切换 。 在 
异步 进程 中 ， 每 个 模式 切换 最 多 可 以 访问 一 个 输入 通道 或 最 多 访问 一 个 输出 通道 ， 每 个 模 
式 切 换 对 应 于 一 个 任务 。 我 们 将 使 用 图 4-5 所 示 的 异步 进程 模型 (异步 非 门 ) 来 证 明 以 上 





out! X out! X out !0 


4-5 一 个 异步 非 门 AsyncNot 


与 同步 电路 不 同 ， 异步 电路 没有 全 局 时 钟 ， 并 且 由 输入 值 的 改变 引起 的 输出 值 的 改变 
会 发 生 延 迟 。 当 异步 逻辑 门 的 输出 是 输入 的 预期 函数 时 ， 该 迎 辑 门 是 稳定 的 ; 否则 是 不 稳 
定 。 如 果 人 逻辑 门 是 稳定 的 ， 而 且 输 入 以 违反 稳定 条 件 的 方式 改变 ， 则 逻辑 门 变 成 不 稳定 
的 。 只 有 当 逻 辑 门 处 于 不 稳定 状态 时 ， 有 异步 门 的 输出 才 可 以 发 生 改 变 ， 且 逻辑 门 变 成 稳定 
状态 。 假 设 逻辑 门 更 新 输出 所 消耗 的 时 间 是 任意 的 ， 这 样 正确 设计 的 异步 电路 不 依赖 于 延 
述 参 数 的 具体 值 。 如 果 人 逻辑 门 不 稳定 且 输 入 的 任何 改变 没有 使 稳定 条 件 变 为 真 ， 则 该 逻辑 
门 保持 不 稳定 。 然 而 ， 如 果 不 稳定 逻辑 门 的 任何 输入 以 导致 稳定 条 件 变 为 真 的 方式 改变 ， 
则 危险 发 生 且 逻辑 门 失效 。 如 果 逻 辑 门 失效 ， 则 其 输出 会 任意 改变 。 异 步 门 和 锁 存 器 必须 
组 合 在 一 起 形成 一 个 异步 电路 ， 以 便 保 证 逻辑 门 永 不 失效 。 

图 4-5 所 示 的 异步 进程 AsyncNot 有 一 个 输入 通道 in 和 一 个 输出 通道 out, ENEE 
辑 门 的 输入 /输出 线 的 模型 。 扩 展 状 态 机 有 3 个 模式 {stable，unstable，hazard}， 分 别 
对 应 逻辑 门 的 3 个 操作 模式 。 状 态 变 量 x 获取 输出 值 ， 并 在 输出 通道 out 上 发 出 该 值 。 

一 开始 ， 逻 辑 门 处 于 stable 模式 ， 且 输出 x 二 0。 如 果 输 入 通道 in 接收 的 值 等 于 当 
前 输出 ， 则 这 不 符合 非 门 的 逻辑 ， 使 得 逻辑 门 不 稳定 ;如果 输入 通道 的 值 是 输出 z 的 否 
定 ， 则 逻辑 门 继续 保持 稳定 。 通 过 有 多 个 目标 的 条 件 模式 切换 来 描述 以 上 规则 : 对 应 于 处 
理 输出 的 stable 的 切换 没有 守卫 条 件 ( 即 任务 一 直 是 使 能 的 ); IBA RAE Cin=2) 
足 ， 则 模式 切换 为 unstable; 否则 模式 切换 为 stable. 

当 逻 辑 门 处 于 不 稳定 模式 时 ， 它 也 可 以 切换 回 稳定 模式 ， 且 切换 z 值 。 不 稳定 模式 下 
对 输入 值 的 处 理 导 致 有 允 辑 门 通过 保持 模式 不 变 ( 如 果 输 入 值 等 于 当前 输出 ， 则 维持 待 切 换 
输出 的 有 效 性 ) 或 切换 为 模式 hazard( 如 果 输 入 值 是 当前 输出 的 否定 ， 那 么 这 表示 输入 值 
连续 不 断 的 有 效 改 变 ， 不 会 给 逻辑 门 任何 更 新 输出 的 机 会 ) 来 忽略 输入 。 因 此 ， 输 入 处 理 
又 可 以 通过 包含 两 个 可 能 目标 的 条 件 模式 切换 来 表示 。 

在 模式 hazard F, 逻辑 门 忽 略 输入 值 ( 即 ， 处 理 输入 值 不 会 对 状态 有 影响 )， 并 且 以 
非 确定 性 的 方式 发 出 两 个 输出 值 。 

每 个 模式 切换 对 应 一 个 任务 ， 在 每 一 步 中 ， 只 执行 状态 机 的 一 个 模式 切换 。 在 我 们 的 
例子 中 ， 在 模式 stable 上 的 自 循环 提供 了 一 个 有 和 守卫 条 件 (mode= stable) 的 输出 任务 
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和 更 新 代码 outl1x。 包 含 输出 通道 的 其 他 3 个 自 循环 的 每 一 个 都 提供 了 一 个 输出 任务 。 从 
模式 unstable 切换 到 模式 stable 提供 了 包含 : 守卫 条 件 mode=unstable 和 更 新 代 
码 工 渤 一 Zi mode :二 stable 的 唯一 的 内 部 任务 。stable 的 条 件 模式 切换 表示 包含 守卫 
条 件 mode=stable 和 更 新 代码 if(in=—x) then mode :二 unstable 的 输入 任务 。 对 应 
于 模式 unstable 的 条 件 模 式 切 换 的 输入 任务 是 类 似 的 。 最 后 ， 标 记 为 in? 的 模式 naz- 
ard 上 的 自 循环 包含 守卫 条 件 mode 二 nazard， 空 更 新 代码 ( 即 状 态 不 发 生 改 变 ) 的 输入 任 
务 。 进 程 的 可 能 执行 路 径 如 下 所 示 : 


out!0 in?0 in?0 € 
(stable ,0) > (stable,0) —~ (unstable,0) —> (unstable,0) —~> 

out!1 out!] in?] in?0 
GstabiLe, 1) — > (stable, 1) —— stables): Cunstablesl) 一 一 > 


(hazard,1) pat (hazard,1) pi (hazard,1) a (hazard,1) 

需要 注意 的 是 ， 在 初始 状态 下 ， 如 果 给 进程 的 输入 是 in?0， 紧 接着 是 in?1， 没 有 输出 
动作 ， 则 可 能 会 切换 为 hazard 或 unstable。 后 者 是 可 能 的 ， 如 果 在 两 个 输入 动作 之 
间 ， 进 程 执行 切换 状态 变量 z 的 内 部 动作 。 注 意 ， 切换 xz 的 内 部 动作 与 在 输出 通道 out 上 
发 出 输出 的 动作 是 分 离 的 。 保 证 逻辑 门 不 进入 hazard 模式 的 唯一 方式 是 ， 在 该 环境 下 ， 
在 提供 输入 in?0 后 ， 在 发 出 后 面 的 输入 in?1 前 等 待 输出 out11 。 

使 用 扩展 状态 机 说 明 进 程 的 执行 语义 是 非常 直 
观 、 简 单 ， 并 且 可 以 查 接 集成 到 异步 进程 的 模拟 和 
分 析 工 具 中 。 另 外 ， 还 可 能 将 扩展 状态 机 描述 转换 
成 基于 任务 的 形式 化 定义 。 条 件 模式 切换 的 通用 格 else — Update; 
Guard 成 立 ， 则 可 以 执行 模式 切换 。 更 新 代码 与 评 
THAME Test 相对 应 ， 如 果 条 件 满足 ， 则 执行 代码 Updatel ， 且 模式 变量 切换 为 m; 否则 执 
行 代码 Updates ， 模 式 变 量 切换 为 wz。 这 样 的 模式 切换 包含 了 具有 守卫 条 件 (mode 王 ma) 人 
Guard 和 更 新 代码 if Test then{Update:,; mode?m,}else{ Update, ; mode?m, 的 任务 。 

在 两 个 条 件 Guard 和 Test 以 及 两 个 更 新 Update, 和 Update, 中 访问 的 变量 应 该 使 任 
务 可 以 分 成 一 个 内 部 任务 、 与 一 个 输入 通道 相关 联 的 输入 任务 和 与 一 个 输出 通道 相关 联 的 
输出 任务 等 类 型 。 尤 其 是 关键 限制 是 守卫 条 件 Guard 不 能 涉及 输入 值 。 这 就 是 为 什么 我 们 
不 能 将 模式 stable 的 条 件 模式 切换 替换 成 两 个 独立 的 模式 切换 : 一 个 是 在 守卫 条 件 (in 王 
xX) 下 从 模式 转换 成 模式 unstable; 男 一 个 是 在 否定 守卫 条 件 (in 关 zx) 下 的 自 循环 。 
练习 4.3: 描述 一 个 异步 进程 Rsyncand， 它 对 有 两 个 布尔 输入 通道 in 和 ins ， 以 及 一 个 布尔 输出 通道 

out 的 异步 逻辑 与 门 建 模 。 该 进程 可 以 描述 为 与 图 4-5 中 的 进程 AsyncNot 相似 的 具有 3 个 模 
式 的 扩展 状态 机 ， 并 有 3 个 布尔 状态 变量 。 


i | ons esa temp | 
Bufferl Buffer2 


Test 一 Update, 















图 4-7 两 个 缓冲 区 生成 的 DoubleBuffer 的 方 框图 


4. 1.5 进程 操作 
根据 第 2 章 的 描述 ， 方 框图 可 以 用 来 描述 同步 构件 的 组 合 以 便 构 建 层次 化 系统 。 相 同 
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的 设计 方法 也 可 用 于 异步 进程 。 例 如 ， SEA 4-7 所 示 的 方 框图 ， 它 用 异步 进程 Buffer 
的 两 个 实例 来 构建 复合 进程 DoubleBuffer。 该 方 框图 与 图 2-15 所 示 的 同步 构件 Dou- 
bleDelay 的 方 框图 在 结构 上 完全 一 致 。 如 前 所 述 ， 这 种 方 框图 的 含义 可 通过 3 个 操作 精 
确 地 解释 : 实例 化 、 并 行 组 合 和 输出 隐藏 。 使 用 这 3 个 操作 的 进程 DoubleBuffer MX 
本 描述 是 : 

(Buffer[out = temp]||Buffer[in~ temp]) \ temp 

输入 /输出 通道 重 命名 

输入 或 输出 通道 重 命名 的 操作 可 以 用 于 获得 期 望 的 通信 模式 。 在 图 4-7 中 ， 异 步 进程 
Bufferl 是 通过 将 进程 Buffer 的 输出 通道 out 重 命名 为 temp 获得 的 ， 并 对 应 于 重 命名 
表达 式 Buffer[out — temp]. Aish, PEPE Buffer2 是 通过 将 进程 Buffer 的 输入 通道 
in 重 命名 为 temp 获得 的 ， 并 对 应 于 表达 式 Buffer[in .> temp]。 当 这 两 个 进程 组 合 时 ， 
共享 的 名 称 temp 保证 进程 Buffer1 的 输出 被 进程 Buffer2 用 作 它 的 输入 。 

当 组 合 进程 时 ， 假 设 状 态 变量 名 是 私有 的 ， 通 过 隐 式 地 重 命名 变量 名 来 避免 名 称 冲 
突 。 在 我 们 的 例子 中 ,我 们 假设 Buffer1 的 状态 变量 是 xi ， 而 不 是 zx; Buffer2 的 状态 
变量 是 Z2o 

进程 输入 /输出 通道 重 命名 操作 的 形式 化 定义 与 同步 构件 的 相应 定义 类 似 ， 对 应 于 整 
个 描述 中 通道 名 称 的 句法 替代 。 

并 行 组 合 

并 行 组 合 操作 将 两 个 进程 合并 成 一 个 进程 ， 该 进程 的 行为 捕获 同时 运行 的 两 个 进程 之 
间 的 交互 ， 使 得 一 个 进程 的 输出 动作 与 具有 相同 通道 名 的 另 一 个 进程 的 输入 动作 同步 ， 并 
且 重 命名 动作 是 交错 的 。 为 了 区 别 异步 组 合 与 同步 组 合 ()， 使 用 Pi | P; 来 表示 异步 进程 
P, 与 P: HAF. 

在 同步 进程 中 ， 只 有 当 两 个 进程 的 变量 声明 相互 一 致 时 它们 才 可 以 组 合 : 状态 变量 中 
没有 名 称 冲 突 ， 两 个 输出 通道 集合 也 互 不 相交 。 这 些 需求 验证 了 只 有 一 个 进程 负责 控制 任 
何 给 定 变量 值 的 假设 。 一 个 进程 的 输入 通道 可 以 是 另 一 个 进程 的 输入 或 输出 通道 。 需 要 注 
意 的 是 ， 同 步 进程 中 讨论 的 相互 循环 等 待 依赖 的 问题 不 会 在 异步 交互 中 出 现 。 如 果 z 既是 
进程 P, 的 输出 通道 ， 也 是 进程 P 的 输入 通道 ，y 既是 P 的 输出 通道 ， 也 是 P 的 输入 通 
道 ， 则 Py 和 P: 可 以 非常 简单 地 进行 组 合 。 这 是 因为 输出 的 产生 是 独立 于 处 理 每 个 进程 输 
入 的 步骤， 因此 在 同一 步骤 中 ， 变 量 之 间 没 有 依赖 关系 。 

组 合 进程 的 输入 通道 集合 、 输 出 通道 集合 和 状态 变量 集合 的 定义 与 同步 进程 类 似 。 构 
件 进程 的 每 个 状态 变量 都 是 组 合 进程 的 状态 变量 。 构 件 进程 的 每 个 输出 通道 都 是 组 合 进程 
的 输出 通道 。 构 件 进程 的 每 个 输入 通道 不 是 另 一 个 进程 的 输出 都 是 组 合 进程 的 输入 通道 。 


组 合 进 程 的 状态 定义 为 (si; s), HEP s 是 进程 P 的 状态 ，s 是 进程 P; 的 状态 。 这 
两 个 进程 独立 地 初始 化 各 自 的 状态 ， 因 此 如 果 两 个 状态 s 和 s 分 别 是 进程 Pi 和 P 的 初 
始 状态 ， 那 么 组 合 状态 Cs ，sz) 也 是 初始 状态 。 

组 合 进程 的 任务 


当 输 入 通道 x 是 两 个 进程 的 公共 输入 通道 时 ， 这 两 进程 同时 在 通道 x 上 消耗 输入 值 ， 
并 且 对 应 于 这 种 输入 的 组 合 进 程 的 可 能 的 输入 动作 可 以 通过 同时 执行 这 两 个 进程 的 输入 动 


作 来 获得 。 即 ， 当 s Se, 是 Pi 的 输入 动作 上 s — 2, 是 已 WAAIER, Csi s) 
(+, ，4) 表 示 是 组 合 进程 的 输入 动作 。 考 虑 与 通道 xz 相关 联 的 进程 P, 的 输入 任务 是 A,， 
假设 它 的 守卫 条 件 为 Guard; ， 更 新 描述 为 Update; 。 类 似 地 ， 假 设 与 通道 z 相关 联 的 进程 
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P, WH ATES E A, FERA Guarda, EAHA Updates 。 通 过 组 合 任务 A MA, 
可 以 得 到 与 通道 z 相关 联 的 组 合 进 程 的 输入 任务 An: 其 守卫 条 件 为 Guard A Guarde, 3 
新 代码 为 Updatei; Updates 。 也 就 是 说 ， 当 两 个 组 合 进程 的 对 应 输入 任务 是 使 能 的 时 ， 通 
道 zx 上 处 理 输入 值 的 任务 A1: 是 使 能 的 ， 并且 它 使 用 更 新 代码 Update, 来 更 新 P 的 状态 变 
E, 然后 执行 更 新 代码 Update, 来 更 新 P: 的 状态 变量 。 两 个 更 新 描述 的 执行 顺序 没有 关 
系 ， 因 为 它们 更 新 的 是 互 不 相交 的 变量 集合 。 当 进程 P! AP. 有 多 个 与 通道 x 相关 联 的 输 
和 任务 时 ， 组 合 进程 有 对 应 于 这 两 个 进程 的 所 有 可 能 的 任务 对 。 

如 果 通 道 工 是 进程 P, 的 输出 通道 ， 也 是 另 一 个 进程 P; 的 输入 通道 ， 则 这 两 个 进程 同 
步 使 用 该 通道 : 当 Pi 执行 在 通道 x 止 发 送 一 个 值 的 输出 动作 时 ， 接 收 端 Pe 执行 匹配 的 输 


人 动作 。 对 于 组 合 进程 ， 该 联合 动作 就 是 一 个 输出 动作 。 即 当 si “Se, 是 P 的 输出 动作 


E ss ty 是 P; 的 输入 动作 时 ，(s1，ss) 一 (4 ，4s) 是 组 合 进程 的 输出 动作 。 如 果 与 通 
道 x 相关 联 的 进程 P, 的 输出 任务 Ay 的 描述 为 Guard; 一 Update ， 与 通道 x 相关 联 的 进程 
P, 的 输入 任务 A: 的 描述 为 Guard;->Update; ， 则 组 合 进程 的 任务 Ai* 的 描述 可 以 通过 这 两 
个 任务 对 获得 : Guard, 人 Guard, 一 Update! ; Update;。 因 此 ， 当 这 两 个 任务 的 守卫 条 件 均 
满足 时 ， 该 组 合 任务 是 使 能 的 。 更 新 描述 Update; 更 新 进程 P, 的 状态 变量 ， 并 计算 通道 zx 
的 输出 值 。 然 后 ， 更 新 代码 Update, 使 用 该 值 来 更 新 进程 P, 的 状态 变量 。 有 必要 强调 的 
是 ， 对 应 于 通道 z 的 输入 任务 的 守卫 条 件 只 涉及 状态 变量 :一 个 进程 是 否 愿 意 处 理 通道 > 
上 的 输入 取决 于 它 的 获 态 ;而 不 取决 于 通道 x 上 提供 的 值 。 因 此 ， 在 使 用 通道 x 的 在 两 个 
进程 Pl 和 P, 之 间 进 行 同步 中 ， 使 用 任务 At 和 A, 进行 同步 的 意愿 由 条 件 Guard' A 
Guard, 来 获得 ， 可 以 通过 在 进程 P, 执行 其 更 新 代码 确定 在 通道 z 上 传送 哪个 输出 值 前 在 
给 定 的 组 合 状态 中 给 这 不 条 件 进 行 评 估 。 如 果 进 程 P 有 多 个 与 通道 x 相关 联 的 输出 任务 
和 P, 有 多 个 与 通道 z 相关 联 的 输入 任务 ， 则 在 组 合 进程 中 与 通道 z 相关 联 的 任务 集合 可 
通过 考虑 所 有 可 能 的 任务 对 来 获得 。 

现在 考虑 这 样 一 种 情况 ， 当 进程 P, 有 一 个 输入 通道 z， 而且 它 不 是 其 他 进程 P, 的 通 
ith, 为 了 处 理 通道 z 上 的 输入 值 ， 组 合 进程 仅仅 需要 执行 对 应 于 通道 z 的 进程 已 的 输入 任 


务 ， 在 执行 此 输入 动作 过 程 中 ，P, 的 状态 保持 不 变 。 对 于 进程 Pi 的 每 个 输入 动作 s < 


ti 和 进程 P, 的 每 个 状态 s， 组 合 进程 有 一 个 输入 动作 (51 9a, 9. Wie, RIAN 
与 通道 x 相关 联 的 进程 了, 的 每 个 输入 任务 也 是 组 合 进程 的 输入 任务 。 需 要 注意 的 是 ， 这 
种 任务 的 守卫 条 件 和 更 新 描述 保持 不 变 ， 且 与 进程 P, 的 变量 无 关 。 

这 同样 适用 于 只 有 一 个 进程 的 通道 上 的 输出 动作 。 如 果 y 是 进程 P, 的 输入 通道 ， 但 
它 不 是 P; 的 通道 ， 则 与 输出 通道 y 相关 联 的 进程 P, 的 输出 任务 声明 为 组 合 进程 的 输出 任 
务 ， 两 者 具有 相同 的 守卫 条 件 和 更 新 描述 。 这 种 任务 的 使 能 性 不 依赖 于 进程 P;， 执 行 这 


样 的 任务 不 会 对 P, 的 状态 产生 影响 。 因此， 对 于 进程 P, 的 每 个 输出 动作 s, 2, 和 进程 


P, 的 每 个 状态 s， 组 合 进程 有 输出 动作 (s,， Ila, e 

最 后 ， 组 合 进程 的 内 部 动作 是 其 中 一 个 构件 进程 的 内 部 动作 ， 而 另 一 个 进程 的 状态 保 
持 不 变 。 因 此 ， 这 两 个 进程 的 每 个 内 部 任务 都 声明 为 具有 相同 守卫 条 件 和 更 新 描述 的 复合 
进程 的 内 部 任务 。 

图 4-8 显示 了 进程 Bufferl 和 Buffer2 的 组 合 进程 。 该 进程 有 状态 变量 {x ，z}、 
输出 通道 {temp，out} 和 输入 通道 fin} 。 对 于 该 组 合 进程 ， 其 输入 任务 A; 与 进程 Bufferl 
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所 对 应 的 输入 任务 相同 ， 其 输出 任务 A, 与 进程 Buffer2 所 对 应 的 输出 任务 相同 。 因 为 
temp 是 公共 通道 ， 所 以 对 应 的 输出 任务 A, 可 通过 组 合 负责 在 通道 temp 上 产生 输出 的 进程 
Buffer] 的 输出 任务 与 负责 在 通道 temp 上 处 理 的 进程 Buffer2 的 输入 任务 的 规约 来 获 
得 。 该 任务 的 守卫 条 件 是 两 个 贡献 任务 的 守卫 条 件 的 合 取 结 果 ， 只 是 (zi 和 关 nulIl1) 因 为 
Buffer2 的 输入 任务 在 约束 条 件 为 1 时 总 是 处 于 使 能 状态 。 更 新 描述 执行 Bufferl 的 输 
出 任务 的 更 新 代码 ， 然 后 执行 Buffer2 的 输入 任务 的 更 新 代码 。 该 组 合 进程 没有 内 部 任 
务 。 因 此 ， 只 有 进程 Bufferl 参与 了 通道 in 的 处 理 ， 这 两 个 进程 在 通道 temp 上 同步 ， 
只 有 进程 Buffer2 参与 了 通道 out 上 的 输出 产生 过 程 。 









0, 1, null}x, =null;x,:=null 
{ null}x, := null; x := nu eT 







A; x :=in 
A; œ #null)—> 

{temp:= x,; x, := null; := temp} 
A; ¥null)— {out := x,; x, = null} 


图 4-8 两 个 Buffer 进程 的 异步 并 行 组 合 
关 异 步 进 程 的 并 行 组 合 的 形式 化 定义 如 下 。 


异步 进程 组 合 
令 两 个 异步 进程 Pi 二 (Li, Oi, S, Init, {(AL|eEh}, {A;|yEO}, M1) 和 P, = 
(Iz, Oz, Soy Inite, {AZ |zE€l}, LA |yEO:}, A), 1190, MO, 不 相交 。 则 并 行 
组 合 进程 Pi |P: 是 异步 进程 P, PEAN: 
© 状态 变量 集合 S=S,US.. 
e 输出 通道 集合 O=O, UO;。 
e 输入 通道 集合 ISUR) \ O. 
o 初始 化 操作 定义 为 Initi; Init;。 
e 对 于 每 个 输入 通道 EI DWR rél, MAAKA 的 集合 是 A!; 2) 如 果 
Zz 镀 了 ， 则 输入 任务 A, 的 集合 是 4; 3) 如 果 zxETNNT， 则 对 于 每 个 任务 A E 
A! HA EA, 输入 任务 A, 的 集合 包含 由 Guard A Guard,—~Update,; Update, 
描述 的 任务 ， 其 中 Guard > Update, 是 任务 Ai 的 描述 ，Guards > Update, 是 任 
务 A, 的 描述 。 
e 对 于 每 个 输出 通道 yeO, DMR VEO, \ I;， 则 输出 任务 A, 的 集合 是 A,; 
2) 如 果 >EO 和 五 ， 则 输出 任务 4, 的 集合 是 A;; 3) 如 果 YEON, MAFFE 
MESA, EA AIA. EA, 输出 任务 A, 的 集合 包含 由 Guard A Guard, > 
Update!; Update. 描述 的 任务 ， 其 中 Guard > Update, 是 任务 Ai 的 描述 ， 
Guard: >Update: 是 任务 A; 的 描述 ; MR >EO: 门 五 ， 则 对 于 每 个 任务 Ai € 
A HA EA, 输出 任务 A, 的 集合 包含 由 Guard A Guard, >Update:; Update; 
描述 的 任务 ， 其 中 Guard, > Update, 是 任务 A; 的 描述 ，Guard: > Update: 是 任 
SA, 的 描述 ; 
© 组 合 进程 的 内 部 任务 的 集合 是 A 二 Al UA. 


输出 隐藏 
如 果 y 是 进程 P 的 输出 通道 ， 则 在 进程 P 中 隐藏 了 的 结果 是 ， 给 出 一 个 与 进程 也 完 


bool in 
一 一 一 一 一 =| 





bool temp 
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全 类 似 的 进程 ， 但 y 在 外 部 不 可 见 。 可 以 通过 从 输出 通道 的 集合 中 删除 y， 这 可 以 通过 将 
y 声明 为 局 部 变量 ， 将 与 y 相关 联 的 每 个 输出 任务 都 转变 成 内 部 任务 来 实现 。 我 们 知道 局 
部 变量 是 任务 更 新 代码 描述 中 使 用 的 辅助 变量 ， 不 会 存储 在 状态 中 。 
回顾 进程 Bufferl|Buffer2。 如 果 隐 藏 中 间 输 出 通道 temp， 则 可 以 获得 期 望 的 组 
合 进程 DoubleBuffer: 状态 变量 集合 为 {zl ，zz}， 输 出 通道 集合 为 {out}， 输 入 通道 集 
合 为 {fin}， 初 始 化 操作 为 zi null; r: :二 null。 输 入 任务 A; 和 输出 任务 A, 与 Bufferl | 
Buffer2 相同 。 进 程 DoubleBuffer 有 一 个 内 部 任务 ， 描 述 如 下 : 
(xinul11)™> 
{local bool temp; \ 
temp = zi pTi *=null; 
Z2 *=temp} 
练习 4.4: 考虑 由 进程 Merge 的 两 个 实例 组 成 的 异步 进程 
Merge[out -= temp]| Merge[in -= temp][in, in, ] 
说 明 这 个 组 合 进 程 的 “编译 ”版 本 类 似 于 图 4-8 中 的 描述 。 解 释 这 个 组 合 进程 的 输入 /输出 
行为 。 


4.16 安全 性 需求 


在 第 3 章 中 ,我 们 研究 了 如 何 说 明和 验证 迁移 系统 的 安全 性 需求 ， 相 同 的 技术 同样 适 
用 于 异步 进程 。 给 定 异 步 进程 已 ， 迁 移 系 统 工 的 定义 如 下 所 示 : 
eo 进程 P 的 状态 变量 S 是 工 的 状态 变量 。 
o 进程 P 的 初始 化 规约 Init 也 是 工 的 初始 化 。 
© TT 的 迁移 描述 对 应 于 选择 进程 P 的 内 部 任务 、 输 入 任务 或 输出 任务 A、 使 得 满足 A 
的 守卫 条 伞 ， 并 执行 相应 的 更 新 描述 。 对 于 输出 任务 ， 将 对 应 的 输出 通道 转换 为 局 
部 变量 ; 对 于 输入 任务 ， 将 对 应 的 输入 通道 转换 为 局 部 变量 ， 并 且 变 量 值 在 开始 时 
被 非 确定 性 地 选择 。 
因此 ，s 一 t+ 是 T 的 一 个 转换 ， 当 进程 PP 有 从 状态 s 到 z 的 一 个 输入 动作 或 输出 动作 或 
内 部 动作 。 
关于 异步 进程 的 状态 变量 的 属性 p 是 系统 的 不 变量 ， 如 果 对 应 的 迁移 系统 的 所 有 可 达 
状态 满足 属性 p. Hi, ER 4-4 所 示 的 进程 AsyncInc， 它 有 两 个 变量 r Ay, A 
要 是 ， 对 于 给 定 的 常数 c<， 两 个 变量 的 值 最 多 相距 <。 这 相当 于 检查 属性 |zx 一 y| 过 c 是 否 是 
系统 的 不 变量 。 结 果 是 ， 不管 常 数 c MEK, UR Asyncinc 都 不 是 系统 的 不 变量 。 
归纳 不 变量 的 概念 可 以 用 于 证 明 异 步 进 程 的 安全 性 需求 。 例 如 ， 为 了 说 明 安全 属性 p 
是 归纳 不 变量 ， 需 要 说 明 1) 初 始 时 满足 安全 属性 ; 2) 每 次 迁移 时 都 满足 安全 属性 。 因 为 一 
次 迁移 对 应 于 执行 一 个 任务 ， 所 以 需要 说 明 g 在 每 个 任务 执行 时 都 满足 。 
安全 监控 器 可 用 于 获取 那些 不 能 直接 用 状态 变量 表示 的 安全 性 需求 。 在 异步 设置 中 ， 
一 个 具有 输入 变量 I 和 输出 变量 O 的 进程 的 安全 监控 器 ， 是 另 一 个 具有 内 部 任务 和 输入 变 
量 IUO 的 异步 进程 。 这 样 的 监控 器 与 在 进程 P 的 输入 /输出 动作 上 的 可 观察 系统 P 同步 。 
监控 器 通过 扩展 状态 机 来 描述 ， 以 监控 器 的 “错误 ”模式 结束 的 执行 表示 违反 了 期 望 的 安 
全 性 需求 。 
在 3.3 节 和 3.4 节 中 讨论 的 枚 举 和 符号 可 达 算 法 同样 适用 于 异步 进程 的 验证 。 
练习 4.5: 考虑 图 4-5 所 示 的 进程 AsyncNot。 设 计 一 个 与 AsyncNot 交互 的 异步 进程 AsyncNotEnv. 
该 进程 AsyncNotEnv 有 一 个 布尔 输入 通道 out 和 一 个 布尔 输出 通道 in。 它 首先 输出 0， 然 后 
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才能 接收 输入 。 它 等 待 直到 接收 的 输入 值 等 于 1 并 继续 输出 值 1， 然 后 等 待 直到 接收 的 输入 值 
等 于 0。 重 复 执行 该 循环 。 将 期 望 的 异步 进程 AsyncNotEnv 建 模 为 扩展 状态 机 。 考 虑 异步 组 
合 AsyncNot | RsyncNotEnv， 并 讨论 (AsyncNot. mode 取 hazard) 是 组 合 进程 的 一 个 不 
变量 。 


4.2 异步 设计 原 语 
4.2.1 阻塞 同步 与 非 阻塞 同 步 


在 异步 模型 中 ， 两 个 进程 间 通 过 同步 来 交换 信息 。 当 一 个 进程 产生 的 输出 与 另 一 个 进 
程 的 对 应 输入 的 消耗 相 匹 配 时 ， 进 程 间 的 同步 就 发 生 了 。 设 x 既是 进程 Pi 的 输出 通道 ， 
也 是 另 一 个 进程 P: 的 输入 通道 。 令 A 是 对 应 于 通道 zx 的 进程 Pi 的 输出 任务 。 假 设 P, 
处 于 状态 s ， 在 该 状态 下 这 个 输出 任务 A 是 使 能 的 。 那 么 进程 Pi 准备 在 它 的 输出 通道 x 
上 发 送 值 。 假 设 P; 的 当前 状态 为 w， 如 果 在 状态 s 下 与 通道 x 相关 联 的 P; 的 某 个 输入 
任务 A: 是 使 能 的 ， 则 P; 将 接收 来 自 通道 x 的 一 个 输入 ， 同 时 组 合 进程 在 通道 x 上 执行 
同步 行动 。 然 而 ， 在 状态 s 下 没有 与 通道 x 相关 联 的 P: 输入 任务 是 使 能 的 ， 则 进程 P 
不 会 接收 来 自 通道 z 的 输入 ， 同 时 进程 Pi 被 执行 它 的 输出 任务 阻塞 。 这 就 是 阻塞 通信 ， 
其 中 生产 者 Pi 需要 接收 者 P; 的 合作 ， 才 能 在 通道 x 上 产生 一 个 输出 。 当 一 个 进程 在 每 一 
个 状态 都 可 以 接收 输入 且 不 会 阻止 生产 者 产生 输出 时 ， 该 进程 称 为 非 阻塞 。 

在 我 们 的 模型 中 ， 当 与 通道 x 相关 联 的 输入 任务 的 守卫 条 件 满足 时 ， 进 程 可 以 处 理 通 
道 x 上 的 输入 。 对 于 非 阻 塞 进程 ,我们 要 求 与 输入 通道 对 应 的 所 有 任务 的 守卫 条 件 的 析 取 
是 有 效 的 公式 ， 即 ， 等 于 布尔 常量 1。 


非 阻塞 进程 
如 果 对 于 每 个 输入 通道 x 和 每 个 状态 *， 与 通道 x 相关 联 的 任务 集合 4. 中 的 某 个 
任务 在 状态 s 是 使 能 的 ， 则 称 该 异步 进程 已 是 非 阻塞 的 。 


图 4-1 所 示 的 进程 Buffer 是 非 阻 塞 的 : 该 进程 的 环境 总 是 为 输入 通道 in 提供 一 个 
值 ， 即 使 有 些 值 丢失 了 。 然 而 ， 图 4-3 所 示 的 进程 Merge 是 阻塞 的 : 如 果 队 列 zi EW, 
则 无 法 处 理 通道 in 上 的 输入 ， 因 此 通道 in 上 的 输出 的 生产 者 必须 等 待 直到 队列 变 为 不 
满 。 图 4-5 所 示 的 进程 AsyncNot 是 非 阻 塞 的 : 进程 总 是 接收 输入 ， 即 使 接连 不 断 地 提供 
输入 会 导致 它 进 入 危险 状态 。 

由 两 个 Buffer 进程 组 合 而 成 的 进程 DoubleBuffer 是 非 阻 塞 的 。 事 实 上 ， 很 容易 
验证 4. 1.5 节 中 的 定义 所 有 操作 将 属性 保护 为 非 阻塞 : 如 果 方 框图 中 的 所 有 构件 进程 都 是 
非 阻塞 的 ， 则 对 应 于 这 方 框图 的 组 合 进程 也 是 非 阻 塞 的 。 

在 设计 异步 系统 时 ， 非 阻塞 同步 和 阻塞 同步 是 相同 的 。 在 非 阻 塞 设计 中 ， 如 果 进 程 
P, 向 另 一 个 进程 P, 发 送 一 个 输出 值 ， 则 P, 要 求 进程 P, 向 P, 发 送 回 一 个 显 式 确认 ， 用 
以 保证 Pi 的 输出 已 被 P; 接收 。 在 阻塞 同步 的 实现 中 ， 运 行 时 系统 必须 在 某 种 程度 上 保证 
接收 者 愿意 参与 同步 化 动作 。 











4.2.2 E 


死 锁 是 异步 设计 中 经 常 出 现 的 错误 。 在 一 个 由 多 个 进程 组 合 而 成 的 系统 中 ， 死 锁 是 指 
每 个 进程 都 在 等 待 其 他 进程 执行 任务 ， 但 没有 任务 是 使 能 的 ， 因 此 导致 整个 系统 无 法 继续 


执行 下 去 的 情况 。 
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以 图 4-9 所 示 的 由 进程 P 和 P; 组 成 的 系统 为 例 来 说 明 死 锁 是 如 何 发 生 的 。 进 程 P， 
产生 由 进程 P; 提供 服务 的 请 求 。 交 换 的 数据 值 与 我 们 的 目的 完全 不 相关 。 因 此 ， 将 进程 
Pi 的 请 求 当 作 消 息 ， 值 为 reqs H Pi 通过 通道 zi 发 送 给 P;; 将 进程 P; 的 响应 也 当 作 
一 个 消息 ， 值 为 respi» 由 P, 通过 通道 Tz 发 送 给 P, o 类 似 地 ， 进程 P, 生成 另 一 种 的 请 
求 ， 每 个 这 样 的 请 求 被 当 作 一 个 消息 ， 值 为 req, H Pe 通过 通道 r 发 送 给 P, 。 每 个 这 
样 的 请 求 由 进程 P 提供 服务 ， 相 应 的 响应 也 被 当成 一 个 值 为 resp: 的 消息 ， 由 Pi 通过 
通道 Tı 发 送 给 P2. 

图 4-9 显示 了 进程 Pi 的 描述 。 该 进程 有 一 个 内 部 队列 % ， 它 用 来 存储 从 输入 通道 zs 
接收 的 消息 。 进 程 的 任务 描述 使 用 目前 已 知 的 两 种 规约 方式 的 混合 : 明确 列 出 输入 任务 ， 
而 对 应 于 内 部 任务 和 输出 任务 进程 的 计算 是 使 用 扩展 状态 机 来 描述 的 。 输 入 任务 A, 总 是 
使 能 的 ， 它 简单 地 将 输入 通道 上 接收 的 每 个 消息 排 在 队列 y 的 尾部 。 最初 ， 模 式 是 
idle, 如 果 进 程 在 队列 yi 的 队 首发 现 消 息 reqz: ， 则 它 将 该 请 求 从 队列 中 删除 ， 并 切换 到 
模式 busy: 模式 busy 捕获 进程 P 的 内 部 状态 ， 其 中 出 现 需 要 处 理 计算 的 传人 请 求 。 然 
后 在 输出 通道 上 发 出 相应 的 响应 (由 更 新 代码 ril resp: 捕获 ) ， 进 程 返回 模 态 idle。 在 
空闲 (Cidle) 模 式 下 ， 进 程 可 以 对 自身 产生 一 个 请 求 ， 这 可 以 通过 用 输出 动作 为 x1!1req 将 
模式 切换 为 wait。 在 模式 下 wait, HERP, 等 待 来 自 其 他 进程 的 响应 ， 不 会 处 理 来 自 P 
的 请 求 。 因 此 ， 只 有 当 队 列 yi 中 的 第 一 个 消息 是 响应 消息 resp, 时 ， 则 该 进程 才能 从 模 
A wait 切换 回 idle， 如 果 是 这 样 ， 它 将 该 消息 从 队列 中 删除 。 

Pi 
queue ({req,, resp;})y, =null 


A: Enqueue (x,, y,) 


Front (y,)= resp, 
xı! resp, — Dequeue (y,) a 


Front (y,)= req, x! req, 
— Dequeue (y,) 


{req, resp2}x, {req respi}x 


P, 


queue ({req, resp,})y,:=null 


Ai: Enqueue (x, yz) 


Front (y,)= resp, 
x,! resp, — Dequeue (y,) i 


Front (y,)= req, x,! req, 
— Dequeue (y,) 


图 4-9 死 锁 说 明 
进程 P, 的 描述 是 对 称 的 。 现在 考虑 组 合 进程 P; Pis 假设 P; 在 通道 Tı 上 发 出 请 求 


req; H req 保存 在 进程 P, 的 内 部 队列 % 中 。 该 步骤 可 以 通过 如 下 所 示 的 动作 实现 ， 
其 中 每 个 状态 依次 通过 变量 Pi. mode. yı, Pz. mode, y: 的 值 来 描述 : 


Zi lreqi 


(idle,null,idle,null) —— (wait,null,idle,| req |) 
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此 时 ， 这 两 个 任务 都 是 使 能 的 : 进程 P 的 内 部 任务 对 应 于 从 模式 idle 到 模式 busy 
的 切换 过 程 ， 进 程 P; 的 输出 任务 对 应 于 从 模式 idle 到 模式 wait 的 切换 过 程 。 如 果 前 者 
先 执 行 ， 则 计算 将 按 预期 进行 。 然 而 ， 如 果 后 者 先 执 行 ， 则 对 应 的 迁移 为 : 


X21reqz 





(wait,null,idle,[ req ]) (wait,Lreq ],wait,[req ]) 

在 结果 状态 中 ， 没 有 任务 是 使 能 的 : 进程 P 期 待 P 的 响应 ， 反 之 亦 然 。 这 种 状态 就 
是 死 锁 ， 它 应 该 视 为 设计 中 的 错误 。 

总 之 ， 异 步 进程 P 的 状态 s 是 死 锁 状态 ， 如 果 1) 状 态 s 中 任务 都 不 是 使 能 的 ; 2) 状 态 
s 不 是 系统 对 应 的 有 效 终止 状态 。 后 者 是 设计 问题。 例如， 在 领导 选举 问题 中 ， 所 有 进程 
已 经 决定 成 为 领导 或 随从 的 状态 看 作 一 个 有 效 的 终止 状态 。 除 了 这 样 的 成 功 终止 状态 外 ， 
我 们 希望 系统 继续 执行 。 因 此 ， 死 锁 不 发 生 通常 是 一 个 通用 安全 性 需求 ， 期 望 是 所 有 异步 
设计 的 不 变 式 。 l 


4.2.3 共享 存储 器 


在 共享 存储 器 架构 中 ， 进 程 通过 读 和 写 共享 变量 或 共享 对 象 来 通信 。 本 节 将 说 明 如 何 
将 共享 变量 作 建 模 为 异步 进程 。 在 异步 模型 中 ， 不 同 任务 交叉 执行 。 主 要 关心 在 一 次 任务 
的 执行 过 程 中 发 生 多 少 次 计算 ， 即 共享 对 象 支持 哪些 操作 作为 在 一 步 中 执行 的 原子 操作 。 
首先 讨论 原子 寄存 器 模型 ， 这 里 唯一 允许 的 操作 是 最 基本 的 读 和 写 操作 。 

.原子 寄存 器 

4-10 显示 了 进程 RtomicReg， 它 建立 了 两 个 进程 P 和 P; 之 间 共 享 的 变量 (或 寄 
存 器 )z 的 模型 。 该 共享 对 象 仅 支持 的 原子 操作 是 读 和 写 ， 这 种 对 象 称 作 原子 寄存 器 。 通 过 
原子 寄存 器 保存 的 值 的 集合 参数 化 的 描述 表示 为 val， 寄 存 器 的 初始 值 表示 为 initval. 


AtomicRegx 
val v:=initVal 
A}: x.read,!v 
A®: x.read,!v 


A}: v := x.write, 





A2: v = x.write, 


图 4-10 支持 读 和 写 操作 的 原子 寄存 器 


共享 对 象 的 内 部 状态 变量 v 保存 其 当前 值 ， 并 初始 化 为 initval。 使 用 通道 x. read, 
和 x. read, 为 读 操作 建 模 。 通 道 z. read, 既是 原子 寄存 器 的 输出 通道 ， 也 是 进程 P 的 输 
人 通道 。 当 进程 P 想 要 读 寄存 器 时 ， 它 执行 输入 动作 y =z. read, HP y 是 Pi 的 状态 
变量 ， 它 与 任务 A: 的 输出 动作 同步 。 执 行 该 动作 将 发 送 寄 存 器 zx 的 当前 状态 ， 因 此 ， 将 
Pi 的 状态 变量 y 的 更 新 值 是 寄存 器 的 当前 值 ， 但 寄存 器 的 状态 保持 不 变 。 因 此 ， 原 子 寄 
存 器 和 进程 P, 在 通道 z. read, 上 的 同步 将 寄存 器 的 值 传送 到 P, 。 需 要 注意 的 是 ， 进 程 
AtomicReg 的 任务 A; 总 是 使 能 的 ， 因 此 ， 进 程 P 是 否 可 以 执行 访问 寄存 器 的 任务 仅仅 
依赖 于 Pi 中 任务 的 守卫 条 件 。 

类 似 地 ， 使 用 通道 x. write, 和 x. write 为 写 操 作 建 模 。 当 进程 P, PSS Au 
来 更 新 寄存 器 时 ， 它 执行 输出 动作 x. write I1u， 它 与 任务 Ai 的 输入 动作 同步 ， 并 且 它 将 
寄存 器 z 的 内 部 状态 更 新 为 通道 上 接收 的 值 。 如 果 y 是 进程 Pi 的 状态 变量 ， 则 将 共享 寄 
存 器 xz 更 新 为 y 的 当前 值 ， 同 时 进程 执行 输出 语句 zx. write :二 y。 因 为 任务 Ai 总 是 使 能 
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的 ， 则 该 联合 活动 的 使 能 性 仅仅 依赖 于 Pi 中 相应 任务 的 守卫 条 件 。 
进程 P; 的 通信 模式 是 类 似 的 。 


数据 竞争 
考虑 图 4-11 所 示 的 异步 系统 ， 它 包含 3 个 进程 。 共 AtomicReg nat x :=0 
享 存储 器 x 是 进程 AtomicReg 的 实例 ， 其 中 类 型 val= HERE P, DERE P, 


nat， 初 始 值 initval=0. CERT. aE 

寄存 器 使 用 一 种 常见 的 声明 变量 的 语法 来 声明 ， 并 且 通 过 

不 明确 地 提 到 相关 的 读 / 写 通道 来 访问 共享 变量 。 例 如 ， = Rene Ry y=x 
进程 已 读 取 寄 存 器 工 就 是 其 输入 通道 read 的 简略 表达 ， 
进程 P, 更 新 共享 寄存 器 zx 就 是 对 其 输出 通道 x. write, 的 
更 新 。 

两 个 异步 进程 P, AP, 通过 读 / 写 共享 寄存 器 z 来 通 图 411 数据 竞争 例子 ,共享 计数 器 
信 。 进 程 Pf 的 状态 变量 yis yi 初始 化 为 0。 该 进程 首先 通过 执行 语句 y :一 z( 任 务 Ri) 读 
取 z 的 值 。 该 语句 的 执行 涉及 进程 Pi 和 通道 xz. read, 上 工 的 同步 。 接着， 进程 P, 通过 执 
ITEA z =y HUES W,) 将 值 y +1 写 回 共享 寄存 器 Tz， 这 语句 同样 涉及 进程 P! 和 通 
iÑ x. write; E x 的 同步 。 

进程 P, 是 对 称 的 : 它 读 取 它 的 内 部 状态 变量 y 中 共享 寄存 器 z 的 值 (任务 R), Jf 
将 递增 的 值 写 回 共享 寄存 器 (任务 W). 

组 合 系统 的 一 步 对 应 于 执行 两 个 进程 的 某 一 个 任务 。 aR TI 
图 4-12 显示 了 4 个 任务 之 间 所 有 可 能 的 交叉 运行 所 引起 的 RoR Wiw, || 1 [0 | 0 | 
组 合 系统 的 执行 。 针 对 每 次 执行 ， 我 们 将 变量 zx、 和 y ee te 
的 值 在 执行 结束 时 列 出 来 。 根 据 结 果 可 以 观察 到 ， 当 所 有 CRR ww, |i] oo] 
任务 都 执行 一 次 时 ， 共 享 寄存 器 z 的 终 值 可 能 是 1 或 2。 


nat y,:=0 nat y,:=0 


Wi: xi=y, +1 Wr: x= y,+1 
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如 果 每 个 进程 定义 对 z 的 值 做 增 量 操作 ， 则 终 值 为 1 对 应 EE idolo 
于 失去 一 次 增 量 ， 即 一 个 潜在 错误 。 这 种 错误 是 由 一 个 进 图 和 12 图 4.11 所 示 的 共享 计数 
程 在 执行 读 和 写 语句 的 过 程 中 ， 其 他 进程 也 访问 了 共享 寄 Senn ey 
存 器 引起 的 。 这 种 异步 进程 并 行 访问 共享 对 象 时 发 生 的 冲突 称 作 数 据 竞争 。 

互 斥 问题 

图 4-11 显示 了 共享 计数 器 的 说 明 性 例子 ， 假 设 进 程 P 希望 其 在 执行 读 和 写 语句 时 确 
保 共享 对 象 x 的 值 维持 不 变 。 需 要 注意 的 是 ， 共 享 对 象 并 不 支持 在 一 个 原子 步 又 中 同时 执 
行 读 和 写 操作 : 进程 P, 不 能 使 用 语句 x :=z 十 1 自动 增加 计数 器 的 值 ， 因 为 该 进程 在 两 个 
独立 通道 x. read, 和 x. write: 上 涉及 两 个 不 同 的 同步 操作 。 为 了 保证 进程 Pi 在 读 和 更 新 
共享 寄存 器 时 ， 对 共享 对 象 拥有 独立 访问 权限 ， 我 们 需要 设计 一 个 协议 来 解决 经 典 的 互 斥 
协调 问题 。 

假设 有 两 个 或 多 个 异步 进程 需要 访问 一 个 重要 的 共享 资源 ， 如 我 们 例子 中 的 共享 计数 
器 。 在 任何 时 刻 ， 只 允许 一 个 进程 使 用 共享 资源 。 中 心 协调 者 不 控制 资源 的 分 配 ， 但 是 进 
程 之 间 需 要 相互 协调 以 保证 互 斥 访问 。 假 设 进程 可 以 通过 原子 寄存 器 通信 。 开 始 时 ， 一 个 
进程 处 于 空闲 模式 Idle。 它 在 模式 Crit 访问 共享 资源 ， 即 临界 区 。 在 我 们 的 例子 中 ， 一 
且 进 程 进入 临界 区 ， 它 就 可 以 读 取 共享 计数 器 的 值 ， 将 它 加 1， 并 且 将 更 新 值 写 回 共享 寄 
存 器 。 我 们 需要 设计 当 进 程 从 模式 Idle 切换 到 模式 crit 时 进程 应 该 执行 的 入 口 代码 ， 
以 及 当 进 程 在 它 在 返回 模式 Idle 前 在 临界 区 已 经 完成 它 的 任务 时 进程 应 该 执行 的 退出 代 
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码 。 安 全 性 需求 就 是 互 斥 : 两 个 进程 不 能 同时 在 临界 区 内 。 另 一 个 需求 是 无 死 锁 : 不 能 出 
现 一 个 进程 想 要 进入 临界 区 ， 但 没有 一 个 进程 允许 进入 的 情况 。 需 要 注意 的 是 ， 安 全 性 需 
求 可 以 使 用 不 变 式 精确 地 表示 ， 第 5 章 讲 述 无 死 锁 的 形式 化 作为 活性 需求 。 

Peterson 互 斥 算法 

图 4-13 所 示 的 Peterson 协议 是 解决 两 个 进程 互 斥 问题 的 经 典 方法 。 进 程 之 间 通 过 3 
个 共享 原子 寄存 器 turn, flagi, flag, 进行 通信 。 进 程 Pi 的 初始 模式 为 Tdle， 该 进程 有 7 
个 任务 ， 每 个 任务 对 应 于 如 下 所 述 的 模式 切换 ， 

D 模式 Idle 的 自 循环 表示 进程 在 任意 多 个 步骤 中 都 保持 在 该 模式 。 

2) 在 模式 Tdle， 当 进程 需要 访问 共享 资源 时 ， 它 将 布尔 寄存 器 flagi 设 为 1， 并 切换 
到 模式 Try1。 


AtomicReg boo] flag, := 0; flag, := 0; {1,2} turn; 





flag, := 0 
图 4-13 Peterson 的 互 斥 协议 


3) 在 模式 Try1， 进 程 将 共享 变量 turn 更 新 为 它 的 标示 符 1， 并 切换 到 模式 Try2。 

4) 在 模式 Try2， 进 程 读 取 变量 flag, 的 值 。 如 果 flag* 为 0， 则 它 表 示 其 他 进程 不 需要 
资源 ， 并 继续 占用 临界 区 。 否 则 ， 它 切换 为 模式 Try3。 这 形式 化 为 涉及 进程 P 和 共享 寄 
存 器 flag; 之 间 的 读 通 道 的 条 件 模式 切换 。 

5) 在 模式 Tzy3， 进 程 使 用 条 件 切换 检查 共享 寄存 器 turn 的 值 。 如 果 turn 等 于 2， 则 
它 表 示 在 进程 Pi 将 turn 更 新 为 1 后 ， 进 程 P: 将 turn 更 新 为 2， 并 且 在 该 情况 下 ， 进 程 
Pi 继续 占用 临界 区 。 如 果 它 发 现 turn 的 值 为 1， 则 它 表 示 在 进程 P 将 turn 更 新 为 1 前 ， 
进程 P 将 turn 更 新 为 2 且 返 回 模式 Try2 来 再 次 检查 flag; 的 值 。 

6) 对 应 于 临界 区 的 模式 crit 有 一 个 自 循环 ， 它 表示 进程 可 以 在 临界 区 消耗 任意 多 的 
步骤 。 

7) 在 模式 Crzit， 当 进程 不 再 需要 共享 资源 时 ， 将 变量 flagi 更 新 为 0， 并 返回 到 初始 
模式 Idle. 

进程 P 是 对 称 的 。 

我 们 需要 讨论 Peterson 算法 确实 满足 互 斥 需 求 。 首先 ， 观 察 到 只 有 进程 P 对 共享 寄 
存 器 flag; 进行 写 操作 。 当 该 进程 离开 模式 Idle 时 ， 它 将 flagi 设置 为 1; 当 该 进程 返回 模 
式 Idle 时 ， 它 将 flag; 重 置 为 0。 因 此 ， 当 进程 P, 处 于 模式 Idle it, flag, 的 值 为 0。 同 
样 ， 当 进程 P; 处 于 模式 Idle 时 ,布尔 变量 flag; 的 值 也 为 0。 


HRB 93 





使 用 反 证 法 来 证 明 没 有 一 个 执行 可 以 使 得 两 个 进程 同时 进入 临界 区 。 令 p 二 50，s51…， 
Sp 为 最 短 执行 路 径 ， 使 得 在 状态 ss 下 两 个 进程 的 模式 都 为 模式 crit。 在 该 执行 中 ， 最 后 
一 步 必 须 与 某 些 进程 例如 ， 进 程 Pi 相对 应 ， 将 其 模式 切换 为 模式 Crit( 如 果 不 是 ， 在 状 
态 $4-1 下， 两 个 进程 都 已 经 进入 它们 临界 区 ， 因 此 o 就 不 是 证 明 违反 了 期 望 需求 的 最 短 反 
例 )。 进 程 Pi 可 以 将 其 模式 从 Try2 更 新 为 Crit， 假 设 flags 等 于 0; 或 者 从 Try3 更 新 为 
Crit, Bit turn 等 于 2。 在 状态 sa 下， 进程 P: 已 经 在 临界 区 内 ， 因 此 flag* 必须 为 1， 
所 以 只 有 后 一 种 情况 是 可 能 的 。 假 设 从 状态 s;-1 到 5; 的 迁移 是 进程 Pl 对 turn 最 新 的 写 操 
作 ， 从 状态 si Bs, 的 迁移 是 进程 P; 对 turn 最 新 的 写 操 作 。 因 为 执行 结束 时 turn $F 2, 
BREA AY PAF BY GUC BN, 对 turn 的 最 新 更 新 操作 必须 由 进程 P; 执行 )。 图 4-14 描述 了 对 应 
于 该 执行 的 情况 。 进程 Es 的 模式 在 所 有 状态 Sjo Sjtis “9 5 1 必须 是 Try2 或 Try3, Al 
此 ， 在 这 些 状态 下 flag MYA 1. RITIRI, EMARE so smao o Se 下 ， 
turn 的 值 等 于 2，flag 的 值 等 于 1. XERE HE P. 有 两 种 可 能 的 方法 进入 临界 区 
((flags =O) A Try2 开始 或 (turn=1) 从 Try3 开始 )， 在 此 过 程 中 切换 条 件 为 false。 由 于 
进程 P; 在 状态 s 的 模式 为 Try2， 在 状态 s 的 模式 为 Crit， 所 以 我 们 得 到 一 个 矛盾 ( 即 ， 
表示 违反 安全 性 需求 的 假设 执行 o 不 可 能 存在 )。 


P,.mode: Tryl Try2 Try3 Crit 
turn := 1 turn := 2 
i OO OOO 0 
Sj- sy Si- Sı Sit Si 
P mode: Tryl Try2 Crit 
turn = 2 


P mode € {Try2, Try3}; flag, = 1 
图 4-14 对 潜在 计数 器 例子 执行 的 分 析 


我 们 还 要 说 明 Peterson 协议 不 会 死 锁 :; 它 不 可 能 发 生 一 个 进程 想 要 进入 临界 区 ,但 任 
意 进程 都 不 允许 进入 的 情况 。 如 果 只 有 一 个 进程 (如 进程 Pi) 想 要 进入 临界 区 ， 那 么 另 一 
个 进程 P, 处 于 模式 Idle， 且 变量 flag; 等 于 0。 这 种 情况 下 ， 当 进程 Pi 在 模式 Try2 检 
测 flagz AVY, Pi 将 成 功 进 入 。 如 果 两 个 进程 都 在 尝试 进入 临界 区 ， 则 不 可 能 发 生 两 个 
进程 陷 人 人 Try2 和 Try3 之 间 的 循环 中 : 一 旦 两 个 进程 都 将 它们 的 更 新 值 传送 到 变量 turn 中 ， 
它 的 值 不 会 改变 ， 并 且 根 据 turn 的 值 ， 其 中 一 个 进程 一 定 会 在 模式 Try3 的 测试 中 成 功 。 

测试 & 设置 寄存 器 

图 4-15 显示 了 进程 rest&SetReg， 它 对 存储 了 一 个 布尔 值 的 共享 对 象 建 模 ， 但 它 支 
持 测试 & 设置 (test&&set) 以 及 重 置 的 基本 操作 。 在 返回 旧 值 时 ， 测 试 & 设置 操作 将 共享 
寄存 器 设置 为 1， 而 重 置 操作 将 共享 寄存 器 更 新 为 0。 状态 变量 v 存储 寄存 器 的 当前 值 ， 
它 初始 化 为 0。 当 进程 P 想 要 执行 测试 & 设置 操作 时 ， 它 在 通道 r tes 上 执行 一 个 输 
和信 动作， 并 与 寄存 器 执行 输出 动作 同步 。 当 寄存 器 的 值 等 于 0 时， 输出 任务 As 是 使 能 的 ， 
并 且 在 将 状态 更 新 为 1 时 它 传输 0。 当 寄存 器 的 值 等 于 1 时 ， 输 出 任务 AL 是 使 能 的 ， 并 
且 当 保持 状态 不 变 时 它 传输 1。 需 要 注意 的 是 ， 当 前 值 的 传输 和 它 的 更 新 都 是 在 一 步 内 原 
子 操作 ， 这 导致 一 种 更 有 效 的 通信 模式 。 如 果 进 程 P 和 P; 企图 与 进程 Test&SetRedg 同 
步 ， 则 第 一 个 进程 同步 接收 0， 它 设置 寄存 器 状态 为 1， 并 导致 后 续 进程 接收 响应 的 值 1。 

PEHE P 何 时 想 要 重 置 寄存 器 ， 它 都 要 在 通道 z. reset, 上 执行 输出 动作 ， 该 动作 
与 将 寄存 器 更 新 为 0 的 输入 任务 Al 的 执行 同步 。 需 要 注意 的 是 ， 没 有 值 需 要 与 重 置 操作 
相关 联 。 
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TestéSetReg x 


Aly: v= 0— x.t&s,!0; v:= 1 
Al, v=1— x.t&,!1 


A2,: v= 0 — x.t&s,!0; v := 1 
Az: v=1—+x.t&s,!1 

bool x.t&s; | Al: v :=0 
A*; v:=0 





图 4-15 支持 test& set 和 reset 操作 的 布尔 寄存 器 


对 于 寄存 器 Test&gSet， 可 以 很 容易 地 实现 互 斥 问题 的 解决 方法 。 图 4-16 显示 了 一 种 
使 用 单个 共享 TestaSet 寄存 器 free 的 算法 。 当 该 共享 对 象 的 值 等 于 0 时 ， 临 界 区 未 被 占 
用 。 当 一 个 进程 想 进 入 临界 区 时 ， 它 简单 地 在 共享 寄存 器 上 执行 test&set( 测 试 & 设置 ) 
操作 。 如 果 操 作 返 回 0， 则 进程 进入 临界 区 ; 当 操 作 返 回 1 时 ， 进 程 再 次 尝试 。 一 旦 离开 
临界 区 ， 进 程 将 共享 寄存 器 的 值 重 置 为 0。 需 要 注意 的 是 : 两 个 进程 是 完全 相同 的 。 可 以 
很 容易 地 验证 协议 满足 互 斥 需求 且 它 是 无 死 锁 的 。 


Test&SetReg free := 0 
Process P, and P, 





else 


free.reset 
4-16 采用 TestgSet 寄存 器 的 五 斥 


可 以 对 共享 对 象 (如 AtomicReg 和 TestgSetReg) 的 规约 进行 泛 化 ， 这 样 对 象 可 以 
在 多 个 进程 中 共享 ， 而 不 仅 限 于 两 个 进程 。 
练习 4.6: 考虑 与 Peterson 互 斥 协议 相对 应 的 迁移 系统 。 该 系统 状态 变量 集合 包含 变量 Pi. mode, 
Pz. mode, turn, flag, 和 flag, 。 画 出 该 迁移 系统 的 可 达 子 图 ， 并 计算 有 多 少 个 可 达 状 态 ? 
练习 4.7: 在 试图 对 图 4-13 所 示 的 两 个 进程 互 斥 协议 进行 “优化 ”时 ， 有 人 提出 共享 寄存 器 turn 不 是 必 
需 的 。 考 虑 图 4-17 所 示 的 修改 后 的 算法 ， 它 只 使 用 共享 布尔 寄存 器 flagt 和 flag; 。 该 算法 满足 
互 斥 需求 吗 ? 如 果 满 足 ， 给 出 正确 性 的 非 形式 化 论证 或 说 明 一 个 反例 的 执行 。 该 改进 协议 是 


互 斥 问题 的 满意 解 吗 ? 


AtomicReg bool flag, := 0; flag, := 0 
Process P, 





图 4-17 改进 的 Peterson 互 斥 协议 
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练习 4.8: 在 图 4-13 所 示 Peterson 互 斥 协议 中 ， 当 进程 Pi 想 要 进入 临界 区 时 ， 它 首先 将 寄存 器 flagi 设 
为 1， 然 后 将 寄存 器 turn 设 为 1。 假设 我 们 改变 这 两 个 步骤 的 执行 顺序 ， 也 就 是 说 ， 对 于 
Peterson 协议 的 修改 版 本 ， 当 进程 P 想 要 进入 临界 区 时 ， 它 首先 将 寄存 器 turn 设 为 1， 然后 
将 寄存 器 flagi 设置 为 1; 同样 ， 当 进程 P 想 要 进入 临界 区 时 ， 它 首先 将 寄存 器 turn 设 为 2， 
然后 将 寄存 器 flagz 设 为 1。 其 他 的 保持 不 变 。 改 进 的 协议 满足 互 斥 需求 ? 如 果 满 足 ， 给 出 一 
个 简单 的 理由 ; 如 果 不 满足 ， 给 出 一 个 反例 。 

练习 4.9" : 考虑 两 个 异步 进程 P 和 P ， 它 们 通过 nat 类 型 的 共享 原子 寄存 器 zx 进行 通信 ， 寄 存 器 的 初 

始 值 为 1。 进 程 Pi 读 取 共享 寄存 器 ， 并 将 值 存储 在 它 的 内 部 状态 变量 u 中 ， 再 读 取 寄 存 器 ， 
将 值 存 储 在 另 一 个 状态 变量 ww 中 ， 将 共享 寄存 器 的 值 更 新 为 uw 十 vw， 重复 ( 读 、 读 、 写 ) 的 
顺序 列 。 进 程 P 类 似 : Po 读 取 共享 寄存 器 ， 并 将 值 存储 在 内 部 状态 变量 u H, FERF 
存 器 ， 将 值 存储 在 另 一 个 状态 变量 o 中， 将 共享 寄存 器 的 值 更 新 为 u; tu, KAANE 
序列 。 如 果 一 次 系统 执行 结束 时 使 得 共享 寄存 器 zx 的 值 为 xn， 我 们 就 认为 n 是 可 达 的 。 请 问 
以 上 操作 中 ， 哪 些 值 是 可 达 的 ? 提示 : 尽量 找 出 那些 能 证 明 值 5、6、7、8 的 可 达 性 的 执行 。 


4.2.4 公平 性 假设 


异步 模型 中 进程 的 执行 可 以 通过 不 同 任务 的 交叉 执行 获得 。 在 执行 的 每 一 步 中 ， 如 果 
可 以 执行 多 个 任务 ， 则 有 一 个 选择 。 例如， 对 进程 Buffer( 见 图 4-1)， 在 每 一 步 中 ， 通 
过 执行 输入 任务 A; 或 输出 任务 A, 获得 下 一 个 状态 (假设 状态 为 非 空 )。 我 们 不 想 假设 两 个 
任务 执行 的 相对 频率 ， 但 我 们 可 以 阻止 这 样 一 种 执行 ， 即 输出 任务 从 未 被 执行 。 同 样 ， 对 
于 进程 Merge( 见 图 4-3)， 当 到 达 两 个 输入 通道 上 的 值 的 顺序 被 设计 成 任意 合并 时 ， 则 可 
以 很 自然 地 假设 这 些 值 最 终 会 出 现在 输出 通道 上 。 对 于 共享 对 象 ( 如 AtomicReg 和 
Test&SetReg)， 如 果 多 个 进程 对 它们 进行 写 操作 的 竞争 ， 则 计算 的 异步 模型 允许 它们 以 
任意 顺序 执行 ， 可 能 一 个 进程 在 另 一 个 进程 可 以 执行 一 次 写 操作 前 执行 了 多 次 写 操作 。 然 
而 ， 如 果 一 个 进程 拒绝 了 一 次 永远 成 功 进行 写 操作 的 机 会 ， 则 它 再 也 不 会 发 生 有 意义 的 计 
算 。 因 此 ， 我 们 假设 进程 在 共享 寄存 器 上 进行 的 读 / 写 操作 永远 都 不 会 延迟 。 

无 限 执行 

有 关 一 个 任务 的 执行 可 以 被 延迟 任意 长 的 时 间 ， 但 不 是 永远 的 非 形式 化 假设 的 标准 数 
学 框架 ， 要 求 我 们 考虑 无 限 执行 的 概念 。 进 程 P 的 无 限 执行 ， 也 称 为 w 执行 ， 从 一 个 初始 
状态 开始 执行 ， 有 一 个 无 限 的 状态 序列 ， 该 序列 中 的 每 个 状态 是 通过 前 一 个 状态 执行 一 次 
进程 动作 得 到 的 。 

回顾 图 4-2 所 示 的 进程 AsyncInc: 该 进程 有 两 个 一 直 使 能 的 任务 A. 和 A,， 并 分 别 
对 变量 x 和 yy 执行 增 量 操作 。 考 虑 如 下 所 示 的 进程 AsyncInc 的 w 执行 : 


(0,0) a (1,0) te. (2,0) Si (3,0) Mn (4,0)++ 

其 中 ， 我 们 通过 执行 的 任务 对 每 个 内 部 任务 进行 了 标识 。 在 该 w 执行 中 ， 下 一 个 状态 总 是 
可 以 通过 执行 内 部 任务 A, 来 获得 。 我 们 说 ， 这 种 w 执行 对 任务 A, 是 不 公平 的 : 每 一 步 ， 
任务 A, 都 是 使 能 的 ， 但 它 从 未 执行 过 。 可 以 合理 地 假设 ， 没 有 实现 产生 这 种 不 公平 的 执 
行 。 当 我 们 提出 需求 时 ， 我 们 仅仅 要 求 所 有 公平 的 执行 应 该 满足 需求 。 考 虑 进程 
AsyncInc 和 y 的 值 不 应 该 一 直 为 0 的 正确 性 需求 ， 即 使 任务 A, 在 w 执行 中 从 未 执行 违 
反 了 该 需求 ， 但 我 们 仍然 希望 得 到 进程 AsyncInc 满足 该 需求 的 结论 ， 因 为 在 所 有 公平 执 
行 中 已 经 保证 了 y 的 值 会 递增 。 

考查 进程 AsyncInc 的 有 限 执行 ， 假 设 执行 1000 步 。 虽 然 该 执行 中 的 所 有 行动 对 应 
于 z 的 增 量 操作 ， 任 务 A, 每 一 步 都 是 使 能 的 且 不 被 执行 ， 但 它 仍 看 作 进 程 合理 或 有 效 的 
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执行 。 如 果 要 求 的 正确 性 需求 提出 “ 当 x 的 值 等 于 1000 时 ，y 的 值 不 能 为 0”， 我 们 将 得 
出 进程 AsyncInc 是 有 缺陷 的 ， 因 为 有 限 执 行将 任务 A, 执行 了 1000 次 ， 它 证 明 状 态 
(1000，0) 的 可 达 性 违反 了 该 需求 。 如 果 我 们 对 执行 步 数 给 定 一 个 有 具体 的 定量 边界 ， 但 不 
仅 限 于 这 个 边界 ， 使 得 忽略 一 个 使 能 的 任务 变 得 可 以 接受 ， 则 不 管 我 们 选择 多 少 步 数 ， 都 看 
作 进 程 执行 的 任意 假设 。 这 就 是 为 什么 公平 性 被 定义 为 关于 无 限 执 行 的 假设 : 根据 以 上 证 
明 ， 进 程 AsyncInc 不 公平 执行 的 每 个 有 限 前 组 可 以 看 作 合法 的 ， 但 无 限 执行 是 不 公平 的 。 
从 某 种 意义 上 来 说 ， 这 可 以 从 数学 上 很 精确 地 表示 ， 公 平 性 是 有 限 执行 的 属性 限制 。 当 我 们 
将 在 第 5 章 研究 它 时 ， 即 使 无 限 执行 是 一 种 抽象 的 数学 概念 ， 且 第 一 眼看 上 去 很 难 推论 ， 但 
也 存在 有 效 的 分 析 算 法 来 推导 这 种 执行 ， 因 为 这 种 推导 可 以 减少 可 达 状 态 图 的 分 析 周 期 。 

考查 进程 Asyncinc 的 o 执行 ， 在 该 进程 中 任务 A, 和 A, 以 一 种 可 选 的 方式 执行 ， 
比如 1000 次 ,但 在 1000 次 后 ， 只 有 任务 A, 可 以 无 限 地 执行 。 在 这 种 无 限 执行 中 ，y 的 
值 被 “阻塞 ”在 1000, 但 xz 以 无 界 方式 持续 递增 ;关于 任务 A, 执行 的 公平 性 假设 也 阻止 
了 这 次 执行 。 对 于 进程 AsyncInc 的 w 执行 关于 任务 A, 是 公平 的 , 它 必须 包含 无 限 多 次 
递增 y 的 动作 。 同 样 ， 只 有 在 任务 A 包含 无 限 多 次 递增 z 的 操作 时 ， 才 会 认为 任务 A 
的 w 执行 是 公平 的 。 在 图 4-4 中 的 无 限 树 中 ， 一 个 公平 的 wo 执行 就 是 一 条 贯穿 树 的 无 限 路 
径 ， 该 路 径 在 左右 分 支 中 以 任意 方式 曲折 行进 ， 但 也 保证 重复 左右 分 支 。 尤 其 是 对 于 每 步 
n， 每 次 公平 执行 都 要 保证 x My 的 值 都 会 大 于 ”。 

对 于 进程 Buffer， 在 每 一 次 的 o 执行 中 只 有 输入 任务 A; 被 执行 ， 这 对 输出 任务 A, 
不 公平 ， 我 们 通过 假设 任务 A, 的 公平 性 来 排除 这 种 执行 。 对 于 进程 Buffer 关于 输出 任 
务 公 平 的 w 执行 ， 它 必须 包含 无 限 多 次 输出 动作 。 当 我 们 再 次 提出 消息 最 终 会 传递 的 需求 
时 ， 我 们 要 求 所 有 公平 执行 都 应 该 满足 该 需求 。 对 于 进程 Buffer， 我 们 不 对 输入 任务 A; 
的 执行 做 任何 公平 性 假设 。 需 要 注意 的 是 ， 对 于 这 个 特定 的 进程 ， 每 次 无 限 执行 必须 包含 
无 限 多 次 输入 动作 : 这 是 因为 每 次 进程 Buffer 执行 一 个 输出 动作 时 ， 缓 冲 区 将 清空 ， 且 
直到 接收 男 一 个 输入 后 ， 才 能 产生 下 一 个 输出 。 

现在 考虑 4-3 所 示 的 进程 Merge 的 无 限 执行 。 该 进程 在 输入 通道 in 上 接收 一 个 值 。 
然后 它 重复 执行 接收 输入 通道 in; 上 的 值 的 循环 ， 并 通过 执行 任务 A; 将 值 传递 给 输出 通 
道 。 换 句 话 说， 任务 的 无 限 序列 是 先 执行 A! ， 接 着 周期 地 执行 AP; As 。 这 就 明确 要 求 输 
出 任务 Al 将 元 素 从 队列 x, 传送 到 输出 通道 ， 而 这 在 每 一 步 中 都 是 使 能 的 , 但 从 未 执行 
过 。 当 不 公平 时 我 们 再 次 想 要 排除 该 w 执行 。 

在 准确 定义 公平 的 w 执行 的 概念 前 ， 我 们 可 以 要 求 任 务 只 有 在 它 是 使 能 的 时 才 执 行 。 
不 公平 的 w 执行 就 是 在 某 个 点 后 ， 任 务 总 是 使 能 的 ， 但 却 从 未 执行 过 。 

考虑 进程 Merge 的 另 一 个 无 限 执行 : 进程 重复 接收 来 自 输 入 通道 in 的 值 ， 并 通过 执 
行 任务 A; 将 该 值 传送 给 输出 通道 。 我们 将 这 个 执行 看 作 一 次 公平 执行 。 输 入 任务 Ai 从 未 
执行 ， 但 仍然 是 合理 的 情况 ， 并 且 在 该 执行 中 发 现 的 错误 可 能 是 一 个 真实 的 错误 。 要 求 输 
和 人 任务 的 重复 执行 意味 着 我 们 正在 对 环境 做 隐 仿 假设。 因此， 公平 性 只 针对 进程 所 控制 的 
任务 。 如 果 进 程 Merge 与 另 一 个 进程 已 组 合 ( 进 程 P 的 输出 通道 为 im )， 则 进程 P 在 通 
道 in 上 的 输出 任务 的 公平 性 可 以 迫使 动作 与 通道 in 相关。 在 一 个 循环 中 重复 执行 A? 和 
A? 的 w 执行 对 于 输出 任务 A, 也 (显然 ) 是 公平 的 。 这 是 因为 队列 zi 总 是 为 空 ， 所 以 任务 
A; 也 从 不 是 使 能 的 。 

强 公平 性 

到 目前 为 止 ， 我 们 所 讨论 的 公平 性 都 是 弱 公 平 性 。 任 务 的 弱 公 平 性 假设 : 如 果 任 务 是 
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持续 使 能 的 ， 则 任务 最 终 将 执行 。 而 更 强 一 点 的 假设 就 是 强 公平 性 ， 它 要 求 重复 使 能 的 任 
务 应 该 最 终 执行 。 

作为 说 明 性 例子 ， 考 虑 图 全 18 所 示 的 进程 Asyn- 
cEvenInc。 与 图 42 中 的 进程 AsyncInc 类 似 ， 该 进程 
有 两 个 状态 变量 x 和 y， 通 过 内 部 任务 A, 和 A, 分 别 对 其 
进行 递增 操作 。 但 现在 ， 只 有 当 z 值 为 偶数 时 ,任务 A, 
A, 才 是 使 能 的 。 进 程 AsyncEvenInc 的 执行 如 下 图 4-18 异步 进程 AsyncEvenInc 
所 示 : 


Az: x=x+1 





A even(x) = y:=y+1 


£000) — > (1.0) ee SO) a CO) ee CLO oot 

在 该 执行 过 程 中 ， 任 务 A, 的 状态 在 使 能 和 不 使 能 之 间 切 换 。 因 此 ， 该 执行 满足 两 个 
任务 的 条 件 “ 如 果 持 续 可 用 ， 则 最 终 执行 >， 并 且 对 这 两 个 任务 而 言 它 是 弱 公 平 的 。 然 而 ， 
该 执行 对 任务 A, 不 是 强 公 平 的 : 任务 A, 是 无 限 多 次 使 能 的 ， 但 从 未 被 执行 。 如 果 我 们 假 
设 实现 平台 仅仅 确保 弱 公 平 性 ， 则 这 种 执行 是 可 能 的 执行 ， 没 有 保证 y 会 递增 。 如 果 我 们 
假设 实现 平台 确保 强 公 平 性 ， 则 这 种 执行 表示 可 能 的 执行 ， 并 且 保 证 y 会 递增 。 

对 不 可 靠 的 FIFO 链 路 建 模 

另 一 个 说 明 性 例子 ， 考 虑 图 4-19 所 示 的 
进程 UnrelFIFO， 它 建立 了 不 可 靠 的 FIFO 
缓冲 区 模型 。 输 入 任务 A; 仅 仅 将 输入 消息 传 _™sgin 
送 给 内 部 队列 zx。 消息 从 队列 x 传送 到 输出 
通道 通过 3 个 任务 来 完成 。 任 务 A) 通过 将 
消息 从 队列 二 中 删除 并 将 它 传送 给 输出 通道 


queue (msg) x:=null 


A;: Enqueue (in, x) 
Al -Empty (x) — out := Dequeue (x) 
A?: -Empty (x) > Dequeue (x) 

A3: -Empty (x) > out := Front (x) 







msg out 


图 4-19 非 可 靠 连接 的 异步 
来 将 消息 从 队列 x 传送 到 输出 通道 。( 内 部 ) 进程 UnreFIFO 


任务 A 对 消息 的 丢失 建 模 ， 并 将 消息 从 队 


列 z 中 删除 而 不 传送 它 。 任 务 A; 消息 的 元 余 建 模 : 将 队列 z 的 队 首 的 消息 传递 给 输出 通 
道 ， 而 没有 将 该 消息 从 队列 中 删除 。 因 此 ， 该 进程 既 可 以 对 失去 消息 也 可 以 对 复制 消息 的 
通信 链 路 建 模 。 然 而 ， 该 链表 保存 消息 的 顺序 ， 不 会 重新 排序 。 公 平 性 假设 应 该 保证 输入 
消息 最 后 会 出 现在 输出 通道 中 。 

考查 进程 Unrel FIFO 的 执行 。 消 息 到 达 通 道 nm， 并 且 插 人 队列 z 的 队 尾 。 任 务 AM 
除 该 消息 。 由 于 该 任务 的 执行 对 消息 丢失 建 模 ， 所 以 它 不 能 将 消息 传送 给 输出 通道 。 假 设 
任务 A MA 交叉 重复 执行 。 对 于 成 功 传送 消息 的 任务 Al 而 言 ，w 执行 是 弱 公平 的 。 这 是 
因为 ， 每 次 输入 任务 将 输入 消息 插 和 人 队列 z 的 队 尾 时 ， 任 务 A) 是 使 能 的 ， 但 每 次 内 部 任 
务 A’ 删除 该 消息 时 ， 任 务 Al 不 是 使 能 的 。 因 为 任务 Al 不 是 持续 使 能 的 ， 所 以 弱 公 平 性 
假设 不 能 保证 任务 的 最 终 执行 。 然 而 ， 该 无 限 执 行 对 任务 Al 而 言 ， 不 是 强 公平 的 : 任务 
重复 使 能 ， 但 从 未 被 执行 。 因此， 为 了 获得 重复 尝试 传递 消息 最 终 执行 的 非 形式 化 假设 ， 
我 们 应 该 对 任务 A, 的 强 公平 w 执行 进行 限制 。 

公平 性 规约 

进程 Unrel FIFO 的 规约 也 强调 不 需要 给 所 有 任务 都 假设 公平 性 。 尤 其 是 ， 在 无 限 执 
TH, 复制 消 息 的 任务 A 或 丢失 消息 的 任务 A? 从 未 在 可 接受 的 和 现实 的 执行 中 执行 过 。 
丢失 或 复制 消息 不 是 一 个 可 以 执行 的 活路 任务， 也 不 需要 重复 执行 。 当 系统 的 正确 运行 可 
以 依赖 任务 Al 的 公平 性 时 ， 它 应 该 不 会 依赖 A? 的 公平 性 : 当 一 个 协议 的 底层 网 络 不 断 重 
复 丢 失 消 息 时 ， 虽 然 该 协议 正确 运行 ， 但 不 能 认为 是 正确 的 协议 。 
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这 表明 异步 进程 的 描述 应 该 注释 它 的 输出 任务 和 内 部 任务 ; 哪些 任务 是 强 公平 性 假 
BE, 哪些 是 弱 公 平 性 假设 ， 哪 些 没有 任何 公平 性 假设 。 


公平 性 假设 


L 


异步 进程 P 的 w 执行 由 一 个 无 穷 序 列 组 成 ，s —>s en 
程 己 的 状态 ，% 是 忆 的 初始 状态 。 对 于 每 个 ) 之 0，\ ,一 >s, 是 进程 的 输入 、 输 出 


或 内 部 动作 。 如 果 迁 移 sis 对 应 于 任务 A 的 执行 ， 则 认为 在 第 j 步 运行 任务 A。 
内 部 或 输出 任务 A 的 w 执行 是 弱 公 平 的 ， 对 于 所 有 j， 如 果 任务 在 状态 s, 下 是 使 能 的 ， 





则 存在 一 个 点 >j, EHEZ A 要 么 在 第 1 步 执行 ， 要 么 在 状态 % 不 是 使 能 的 。 内 部 
或 输出 任务 A 的 w 执行 是 强 公平 的 ， 如 果 j 无穷大， 任务 A 在 状态 s; 下 是 使 能 的 ， 则 
对 于 无 穷 大 的 1， 任务 A 在 第 i 步 执行 。 异步 进程 的 公平 性 假设 由 要 求 强 公平 性 的 内 
部 和 输出 任务 子 集 SF 和 要 求 弱 公 平 性 的 内 部 和 输出 任务 子 集 WF 组 成 。 鉴 于 这 种 规 
M, E P 的 公平 w 执行 对 于 SF 中 的 任务 是 强 公平 的 ， 对 于 WF 中 的 任务 是 弱 公 
平 的 。 


根据 以 上 的 形式 化 定义 ， 弱 公平 性 假设 是 ， 如 果 是 使 能 的 ， 则 最 终 要 么 执行 要 么 不 是 
使 能 的 ， 它 等 价 于 重复 地 不 使 能 或 重复 地 执行 。 类 似 地 ， 强 公平 性 假设 是 ， 如 果 重 复 地 使 
能 ， 则 重复 地 执行 ， 它 等 价 于 持续 不 使 能 或 重复 地 执行 。 需 要 注意 的 是 ， 如 果 一 个 任务 的 
执行 是 强 公 平 的 ， 则 它 也 是 弱 公 平 的 ， 反 之 不 成 立 。 在 第 5 章 中 ,我们 将 采用 时 序 迎 辑 来 
说 明 公 平 性 假设 ， 这 有 助 于 更 加 深入 地 了 解 弱 公平 性 假设 和 强 公平 性 假设 之 间 的 细微 
差别 。 

互 斥 的 公平 性 假设 

为 了 说 明 如 何 用 公平 性 假设 描述 进程 ， 我 们 先 回顾 互 斥 问题 的 解决 方法 。 首 先 ， 让 我 
们 考虑 图 4-13 所 示 的 Peterson 协议 。 每 一 个 模式 切换 都 对 应 一 个 任务 ， 我 们 可 以 测试 进 
程 P 的 所 有 任务 (进程 已 的 任务 假设 是 相同 的 )。 从 模式 Idle 开始 的 模式 切换 没有 公平 
性 假设 。 这 意味 着 协议 并 没有 假设 进程 在 模式 Idle 下 需要 等 待 多 长 时 间 ， 也 不 依赖 于 进 
程 是 否 重复 要 求 进入 临界 区 。 从 模式 try 1 开始 的 模式 切换 表示 进程 P 的 输出 动作 ， 我 们 
假设 该 任务 有 弱 公 平 性 。 因 此 ， 在 无 限 执行 中 ， 进 程 P 在 模式 Tryl 下 需要 等 待 执行 语句 
turn :二 1， 而 此 时 进程 P, 正 在 重复 执行 。 从 模式 Try2 和 Trys 开始 的 条 件 模式 切换 对 应 
于 测试 共享 寄存 器 的 值 。 这 种 读 操作 就 是 图 4-10 中 的 共享 寄存 器 进程 AtomicReg 的 输出 
动作 。 假 设 寄存 器 flag. 和 turn 的 输出 任务 A; 具有 弱 公 平 性 。 这 就 确保 了 进程 Pi 不 会 在 
模式 Try2 中 等 待 读 取 flag;， 而 进程 P; 却 在 重复 执行 。 临 界 模式 cril 的 自 循环 没有 公平 
性 假设 ， 因 为 我 们 不 希望 进程 Pi 在 具体 时 间 中 处 于 临界 区 。 但 我 们 会 假设 进程 PRAS 
离开 临界 区 (否则 进程 P, 会 永远 被 阻塞 )， 因 此 我 们 假设 从 模式 crit 到 模式 Idle 的 切换 
具有 弱 公 平 性 。 需 要 注意 的 是 ， 弱 公平 性 满足 因为 任务 一 旦 是 使 能 的 ， 就 会 在 执行 之 前 一 
直 可 用 。 

现在 以 图 4-16 中 的 协议 为 例 。 在 Peterson 协议 中 ， 我们 没有 对 模式 Idle 和 Crit 上 
的 自 循环 ， 以 及 从 模式 Idle 到 crit 之 间 的 切换 做 任何 公平 性 假设 。 从 模 Crit 到 Idle 
转换 的 弱 公 平 性 假设 是 为 了 得 到 进程 最 终 会 离开 临界 区 的 假设 。 关 于 检查 共享 寄存 器 free 
值 的 从 模式 Try 开始 的 条 件 切换 ， 注 意 这 对 应 于 共享 寄存 器 的 输出 动作 ， 因 此 对 应 于 free 
的 描述 应 该 添加 公平 性 假设 (如 图 4-15 所 示 的 进程 TestgsetReg 的 描述 ) 。 假 设 以 下 4 个 
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输出 任务 具有 强 公平 性 : Al. A. ADM An 。 需 要 注意 的 是 ， 每 个 任务 都 有 一 个 守卫 
条 件 ， 由 于 共享 寄存 器 的 值 改 变 ， 所 以 任务 可 以 在 使 能 和 非 使 能 之 间 切 换 。 任 务 Al 的 强 
公平 性 确保 如 果 进 程 已 在 模式 Try 中 且 寄 存 器 为 0， 则 任务 At 最 终 会 执行 ， 导 致 一 个 将 
0 返回 给 进程 Pi 的 同步 。 因 此 ， 当 进程 P: 重 复 进 入 和 离开 临界 区 时 ， 进 程 P ERR Try 
中 一 直 等 待 的 情况 不 会 发 生 。 需 要 注意 的 是 ， 任 务 At 的 弱 公 平 性 也 有 这 种 情况 。 
公平 性 假设 下 的 正确 性 
当 证 明 具 有 公平 性 假设 的 异步 进程 的 活性 需求 时 ， 我们 可 以 只 关注 公平 的 w 执行 。 例 
如 ， 针 对 进程 Merge， 假 设 输出 任务 A 和 A? 具有 弱 公平 性 。 在 该 公平 性 假设 下 ， 如 果 
进程 在 任何 步 处 理 输入 动作 in? v, ` 则 可 以 保证 在 接 下 来 的 某 步 中 处 理 输出 动作 out! v 
这 是 因为 在 每 一 次 公平 执行 时 ， 如 果 第 i 步 动 作 处 理 输 入 动作 in? v， 则 将 消息 vv 插入 队 
列 x1。 一旦 队列 zi 中 有 消息 ， 则 输出 任务 Al 至 少 会 在 消息 传输 到 输出 通道 前 一 直 是 使 能 
的 。 输 出 任务 Al 的 弱 公 平 性 假设 保证 任务 一 定 会 执行 : 如 果 队 列 zi 在 消息 v 的 前 面 有 多 
个 消息 ， 则 这 些 消息 一 定 会 被 传递 出 去 ， 最 后 只 剩 下 消息 v。 对 于 不 公平 的 执行 ， 这 种 需 
求 不 会 满足 ， 但 这 种 执行 仅仅 是 建 模 定义 的 产物 ， 并 不 象征 违反 真实 实现 。 
以 图 4-13 和 图 4-16 中 的 互 斥 协议 为 例 ， 在 每 次 公平 执行 中 ， 如 果 进 程 Pi 想 要 进入 临 
界 区 ， 则 它 最 终 一 定 会 进入 该 临界 区 。 
公平 性 假设 的 选择 显然 影响 了 异步 进程 满足 的 需求 。 我 们 通过 考虑 进程 AsyncInc 和 
AsyncEvenInc 的 不 同 需 求 来 说 明 该 观点 : 
e 需求 p 是 指 “z 值 最 终 大 于 10”。 如 果 没 有 公平 性 假设 ,进程 AsyncInc 不 满足 该 
需求 ， 但 是 如 果 假 设 任 务 A, 是 弱 公 平 的 ， 则 满足 该 需求 。 类 似 地 ， 如 果 没 有 公平 
性 假设 ， 进 程 AsyncEvenInc 不 满足 该 需求 ， 但 是 如 果 假 设 任务 A. 是 弱 公 平 的 ， 
则 满足 该 需求 。 
© 需求 p 是 指 “y 的 值 最 终 大 于 10”。 如 果 没 有 公平 性 假设 ， 进 程 AsyncInc 不 满足 
该 需求 ， 但 是 如 果 假 设 任务 A, 是 弱 公平 的 ， 则 满足 该 需求 。 相 反 ， 如 果 没 有 公平 
性 假设 ， 进 程 AsyncEvenInc 不 满足 该 需求 ， 或 者 如 果 仅 仅 假 设 了 弱 公 平 性 ， 也 
不 满足 该 需求 ， 但 是 如 果 假 设 任务 A, 是 强 公 平 的 ， 则 满足 该 需求 。 
e 需求 p 是 指 “y 的 值 最 后 会 大 于 xz”。 进 程 AsyncInc 不 满足 该 需求 。 即 使 为 两 个 
任务 都 假设 了 公平 性 ， 仍 然 无 法 满足 这 需求 。 特 别 地 ， 在 无 限 执 行 中 ， 先 执行 任务 
A-， 再 执行 任务 A,， 重 复 这 种 公平 模式 ， 在 这 种 情况 下 ， 每 个 状态 中 的 条 件 yS 
都 满足 ( 因 违 反 了 需求 wm )。 利 用 类 似 的 方法 ， 进 程 AsyncEvenInc PEETA IH 
任何 形式 的 公平 性 假设 ， 都 不 满足 需求 oo 
公平 性 假设 只 保证 任务 的 最 终 执 行 ， 并 不 能 迫使 特定 模式 以 不 同 任务 的 相对 执行 频率 
执行 。 如 果 要 求 这 种 模式 ， 针 对 需求 p; ， 则 必须 修改 系统 的 协调 逻辑 来 满足 该 需求 。 
练习 4. 10: 回顾 练习 4. 2 设计 的 异步 进程 Split。 要 想 获 得 以 下 假设 ， 在 两 个 输出 通道 之 间 消 息 的 分 布 
在 某 种 程度 上 应 该 是 公平 的 ， 如 果 无 穷 多 个 消息 到 达 输 入 通道 in， 则 输出 通道 out, 和 outs 应 
该 有 无 穷 多 个 传输 的 消息 。 如 何 给 设计 添加 公平 性 假设 来 获得 以 上 假设 ? 如 果 使 用 强 公 平 
性 ， 则 论述 弱 公 平 性 不 足以 获得 以 上 假设 ( 即 描 述 一 个 弱 公 平 的 无 限 执行 ,， 但 消息 的 分 割 并 
不 如 期 望 的 一 样 公平 ) 。 
练习 4. 11: 通过 修改 图 4-19 中 的 进程 Unrel FIFO 的 描述 ， 构建 进程 VeryUnrelFIFo 的 准确 规约 ， 除 
了 丢失 和 复制 消息 外 ， 它 还 可 以 重新 排序 消息 。 改 进 进程 的 公平 性 假设 是 什么 ? 
练习 4. 12: 考虑 图 4-17 中 的 Peterson 互 斥 协议 的 改进 版 本 。 在 该 描述 中 应 该 添加 何 种 公平 性 假设 ? 根 
据 这 些 公平 性 假设 ,协议 是 否 满 足 如 下 需求 :如果 进 程 想 要 进入 临界 区 ， 则 最 终 它 一 定 会 进 
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和 人 临界 区 吗 ? 
练习 4. 13: 异步 进程 P 有 两 个 nat 类 型 的 变量 zx 和 y，z 初 始 化 为 0，y 初始 化 为 2。 通 过 两 个 任务 描述 

进程 行为 。 任 务 A 一 直 是 使 能 的 ， 其 更 新 代码 为 x :二 x 十 1。 任 务 A 一 直 是 使 能 的 ， 其 更 

新 代码 为 y :一 z 十 y。 简 短 地 回答 以 下 问题 。 当 增加 公平 性 假设 时 ， 请 简单 描述 每 个 任务 用 

的 是 强 公 平 性 还 是 弱 公 平 性 。 

1) 能 否 保证 r 的 最 终 值 一 定 会 大 于 5? 如 果 不 能 ， 针 对 这 两 个 任务 有 没有 一 个 合适 的 公平 性 
假设 以 满足 以 上 需求 ? 

2) 能 否 保 证 y 的 最 终 值 一 定 会 大 于 5? 如 果 不 能 ， 针 对 这 两 个 任务 有 没有 一 个 合适 的 公平 性 
假设 以 满足 以 上 需求 ? 

3) 能 和 否 保证 在 执行 过 程 中 ， 某 一 步骤 使 得 zx 等 于 y? 如 果 不 能 ， 针 对 这 两 个 任务 有 没有 一 个 
合适 的 公平 性 假设 以 满足 以 上 需求 ? 


4.3 异步 协调 协议 

在 进程 异步 通信 和 网络 中 ， 一 个 进程 的 每 一 步 执行 都 要 进行 一 次 计算 ,这样 的 步 要 么 从 
输入 通道 获取 输入 值 ， 要 么 从 输出 通道 发 送 输出 值 。 因 此 ， 解 决 协调 问题 的 算法 不 能 像 同 
步 情 况 那 样 以 锁 步 循环 的 方式 处 理 。 我 们 用 3 个 经 典 问题 来 论述 设计 的 挑战 : 在 进程 的 循 
环 中 选举 一 个 领导 ， 使 用 不 可 靠 链接 实现 可 靠 通信 和 使 用 共享 对 象 在 两 个 进程 之 间 达 成 
共识 。 


4.3.1 领导 选举 


回顾 2. 4. 3 节 中 讨论 的 领导 选举 的 协调 问题 ， 现 在 考虑 异步 情况 。 假 设 基础 网 络 以 单 
向 环 连 接 各 个 节点 (如 图 4-20 所 示 的 5 个 节点 的 环 ) 。 每 个 节点 有 一 个 唯一 的 标识 符 ， 并 
且 该 协议 包含 了 节点 消息 交换 策略 ， 最 后 只 有 一 个 节点 声明 自己 是 领导 ， 其 他 节点 声明 自 
己 为 追随 者 。 

将 网 络 节点 建 模 成 异步 进程 P。 输 入 通道 in 接收 由 环 中 节点 书 的 前 驱 节点 发 送 的 标 
识 符 ， 输 出 通道 out 给 己 的 后 继 节 点 发 送 标识 符 。 使 用 内 
部 队列 z 存储 通道 in 接收 的 消息 ， 队 列 y 存储 需要 发 送 
的 消息 ， 通 过 通道 out 上 的 输出 任务 一 个 接 一 个 地 发 送出 
去 。 当 进程 表示 它 要 么 是 领导 ， 要 么 是 追随 者 时 ， 可 在 输 
出 通道 status 上 发 出 该 决定 。 进 程 的 描述 可 以 通过 对 应 于 
网 络 节 点 的 标识 符 来 参数 化 ， 表 示 为 myID。 假 设 每 个 标 
识 符 为 正 数 。 为 了 构建 一 个 环 ， 创 建 进程 P 的 多 个 实例 ， 
并 通过 异步 组 合 操作 将 它们 组 合 起 来 。 例 如 ， 对 应 于 图 4- 


20 所 示 的 5 个 进程 环 组 成 的 系统 为 P=P.|P,|P.|P. 
|P.， 其 中 图 4-20 具有 环形 拓扑 的 异步 网 络 





status, status, 


P,= P[ status status, |[in out, |L out 一 out |[myID — 5] 
P,= P[status status, |[in —out, ][out out, ][myID — 7] 
P.= P[ status status, |[in out, |[out out, | myID — 3] 
P,= P[ status status, ][in out, |[out 一 outz]LmyID -> 10] 
P.= P[ status status, |[in ~out, ][ out out, |[myID — 2] 
我 们 的 目标 是 完成 进程 已 的 描述 ， 使 得 当 进程 的 多 个 实例 组 成 一 个 环 时 ， 就 可 以 满足 
以 下 需求 : 1) 进 程 最 终 会 停止 ， 即 没有 协议 的 无 限 执行 ; 2) 在 每 一 次 终止 执行 中 ， 只 有 一 
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个 进程 在 其 输出 通道 status 上 输出 值 leader， 其 他 进程 在 各 自 的 输出 通道 status 上 输出 
值 follower, 

我 们 知道 在 同步 方法 中 ， 如 果 网 络 中 的 节点 个 数 为 N， 则 假设 网 络 是 强 连 接 的 ， 可 以 
推断 出 节点 可 以 在 N 次 循环 中 表明 它 的 标识 符 可 以 到 达 网 络 中 的 所 有 节点 。 在 异步 情况 
下 ， 这 种 结论 不 成 立 ， 因 为 节点 以 独立 的 速率 执行 ， 并 且 进 程 中 没有 循环 的 概念 。 如 果 节 
点 从 它 的 前 驱 节点 接收 输入 消息 ， 则 它 可 以 推断 出 节点 在 输出 通道 out 上 发 送 给 后 继 节点 
的 消息 会 传播 给 环 中 的 所 有 进程 。 因 此 ， 一 个 进程 不 需要 知道 进程 的 数目 。 

通过 采用 2.4.3 节 中 的 泛 洪 算 法 ， 选 举 环 中 的 异步 领导 者 ， 即 选 出 标识 符 最 大 的 进 
程 。 提 出 一 个 更 有 趣 的 算法 ， 可 以 减少 交互 消息 的 数量 。 如 果 环 包含 N 个 进程 ， 则 该 算 
法 只 生成 NlogN 个 消息 ， 而 泛 洪 算法 生成 N 个 消息 。 事 实证 明 ，NlogN 是 交互 消息 数 
的 下 限 ， 可 以 在 环 网 络 异步 通信 的 进程 中 选举 领导 。 

图 4-21 所 示 的 算法 ， 输 入 任务 A, 总 是 使 能 的 ， 且 在 内 部 队列 z 中 存储 输入 消息 。 输 
出 任务 AS 将 挂 起 消息 从 队列 y 发 送 到 输出 通道 out， 并 且 在 假设 队列 y 不 为 空 时 ， 在 任何 
时 刻 都 可 以 执行 。 


queue (nat)x:= null; y := Enqueue (myID, null) 
nat id := myID; id, := 0; id, :=0 

A; Enqueue (in, x) 

A,: “Empty (y) — out := Dequeue (y) 


A; (id = id,) > 
status! leader 


A,: CEmpty (x) Aid, = 0 Aq (id # jd) 一 
id, := Dequeue (x) Enqueue (id,, y) 


Ag: (id, > max (id, id,) ) > 
{id := id,; id, := 0; 
id, := 0; Enqueue (id, y) } 


Check2 


Ag: (id, < max (id, id,) ) 一 
status! follower 


A,: -Empty (x) > 
Enqueue (Dequeue (x), y) 


A; (Empty (x) Aid, #0) 
id, := Dequeue (x) 


{leader, follower}status 





图 4-21 在 环 中 的 异步 领导 选举 
将 进程 的 核心 计算 描述 为 扩展 状态 机 。 初 始 时 ， 进 程 模 式 不 确定 。 一 旦 做 出 判定 ， 进 


程 就 切换 成 领导 模式 或 追随 者 模式 ， 在 此 切换 期 间 ， 将 判定 输出 到 通道 status 上 。 在 追随 
者 模式 ， 进 程 仅仅 将 消息 从 输入 队列 z 传输 到 输出 队列 > 中 ， 这 可 以 通过 内 部 任务 A, 
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获得 。 

算法 在 多 个 阶段 执行 ， 在 每 个 阶段 ， 未 判定 进程 的 数量 以 系数 2 递减 ， 直 到 只 有 一 个 
进程 未 判定 ， 则 将 这 个 进程 作为 领导 。 

开始 时 ， 每 个 进程 将 自己 的 标识 符 发 送 给 环 中 的 两 个 后 继 进 程 。 为 此 ， 每 个 进程 首先 
将 标识 符 以 及 它 接收 的 第 一 个 消息 发 送 到 输出 通道 上 。 当 进程 接收 到 输入 通道 上 的 两 个 消 
息 时 ， 它 知道 自己 的 标识 符 ， 进 程 自己 的 标识 符 赋值 给 变量 id， 前 驱 节点 的 标识 符 赋值 给 
变量 id, ， 前 驱 的 前 驱 的 标识 符 赋 值 给 变量 id 。 

最 初 ， 变 量 id 的 设置 为 myID， 它 是 与 进程 相关 联 的 一 个 唯一 的 正 数 。 变 量 id, 和 id, 
都 设置 为 0。 将 标识 符 插入 传 出 队列 ， 等 待 传输 到 下 一 个 进程 。 直 到 在 传人 队列 z 中 有 受 
处 理 的 消息 前 ， 进 程 一 直 等 待 。 当 id 的 值 等 于 0 时 ， 处 理 队 列 z 队 首 的 消息 ， 它 是 来 自 
前 驱 节点 的 值 ， 将 该 值 赋 值 给 id 并 从 队列 z 中 删除 ， 进 程 切 换 到 模式 Check1( 见 任务 
Ay). WR id 的 值 不 为 0， 则 下 一 个 要 处 理 的 输入 消息 是 前 驱 的 前 驱 。 任 务 A 将 该 消息 
从 队列 中 删除 ， 并 保存 为 变量 id 的 值 ， 最 后 切换 为 模式 Check2。 

在 模式 Check1， 进 程 检 查 存储 在 idi 中 的 前 驱 标 识 符 的 值 。 当 该 值 等 于 id 的 当前 值 
时 ， 该 进程 赢得 选举 。 在 这 种 情况 下 ， 进 程 在 通道 status 上 输出 值 leader, 模式 更 新 为 
Lead( 见 任务 A;)。 否 则 ， 当 前 驱 标 识 符 的 值 不 等 于 id 的 当前 值 时 ， 将 该 值 插 入 传 出 队列 
y 发 送 给 后 继 进程 ， 模 式 切换 为 Undec( 见 任务 A, ) 。 

一 旦 进程 接收 了 id, 和 id: 的 值 ， 在 模式 Check2， 将 这 两 个 标识 符 与 id 值 比较 。 如 果 
id 是 三 者 中 最 大 的 ， 则 进程 的 状态 仍然 非 确定 ， 采 用 id 作为 它 的 标识 符 ， 并 且 在 模式 
Undec 下 开始 一 个 新 的 开始 阶段 ( 见 任 务 A). WE id 不 是 三 者 中 最 大 的 ， 则 进程 在 通道 
status 上 输出 判定 follower， 并 切换 到 模式 FoLLow( 见 任务 As ) 。 随 后 ， 进 程 将 只 传送 
消息 ， 而 不 检查 消息 。 

需要 注意 的 是 ， 每 个 进程 都 在 重复 相同 的 计算 。 假 设 进程 P, id=m, id =m, id = 
mo WR m>m Am, 过 mx ， 则 进程 已 维持 不 确定 状态 。 考 虑 进程 P 的 前 驱 P'。 那 么 ， 
对 于 进程 P， 它 的 标识 符 就 是 id 的 值 zw ，P 前 驱 的 标识 符 就 是 id A om. 。 这 就 保证 了 ， 
如 果 忆 判定 采用 mi 作为 它 的 标识 符 维持 未 判定 状态 ， 则 P' 就 变 成 追随 者 。 因 此 ， 继 续 保 
持 未 判定 的 进程 数 最 多 是 当前 未 判定 进程 的 一 半 。 此 外 ,未 判定 进程 数 至 少 为 1: 在 所 有 
未 判定 进程 中 ， 标 识 符 最 大 的 进程 的 后 继 一 定 是 未 判定 的 。 

以 图 4-20 所 示 的 通信 网 络 为 例 ， 进 程 P. 的 初始 标识 符 为 3，id、id 、id; 在 第 一 阶段 
的 值 分 别 是 3、7、5， 在 下 一 阶段 它 仍 然 是 未 判定 的 进程 ， 并 将 7 作为 它 的 标识 符 。 进 程 
P, 的 初始 标识 符 为 7，id、id 、id; 在 第 一 阶段 的 值 分 别 是 7、5、2， 进 程 变 成 追随 者 。 在 
第 一 阶段 后 ， 只 有 进程 P. AMP. 保持 未 判定 的 ， 且 标识 符 分 别 改 为 7、10。 

当 进 程 保持 未 判定 的 时 ， 进 程 再 次 重复 选举 协议 。 进 程 将 当前 标识 符 ( 从 前 驱 接 收 的 
值 ) 和 下 一 个 输入 消息 发 送 给 输出 通道 。 在 接收 了 两 个 输入 值 后 ， 进 程 检查 自己 和 两 个 (未 
判定 的 ) 前 驱 节 点 的 标识 符 的 顺序 ， 像 前 面 所 述 的 那样 做 出 判定 。 即 在 每 个 后 继 阶段 ， 未 
判定 的 进程 数 逐 渐 减 少 的 当前 环 重复 选举 协议 ， 因 此 再 一 次 减少 未 判定 的 进程 的 数量 ， 直 
到 还 剩 至 少 一 半 。 剩 下 的 追随 者 不 影响 逻辑 论述 ， 因 为 它们 仅 用 于 传送 消息 。 

当 未 判定 的 进程 接收 输入 消息 (该 消息 等 于 它 的 当前 标识 符 ) 时 ， 表 示 它 是 仅 剩 的 未 判 
定 的 进程 并且 声 明 自 己 为 领导 。 注 意 ， 即 使 该 标识 符 是 所 有 初始 标识 符 中 最 大 的 ， 它 也 
不 是 该 领导 进程 的 初始 标识 符 。 

继续 图 4-20 所 示 的 例子 ， 在 第 二 阶段 中 ， 对 于 进程 P.，id、id 和 id 的 值 分 别 是 7、 
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10 和 7。 它 将 继续 下 一 个 阶段 作为 采用 标识 符 10 的 唯一 未 判定 进程 。 在 第 三 阶段 中 ， 进 
程 发 送 的 第 一 个 消息 返回 给 它 作为 前 驱 的 标识 符 ， 而 其 他 进程 仅仅 传递 该 消息 。 这 会 导致 
进程 P. 声明 自己 是 领导 。 
通过 各 个 阶段 不 同步 的 事实 来 论证 形式 正确 性 是 复杂 的 过 程 ， 在 任意 给 定时 间 ， 相 邻 
进程 可 以 执行 不 同 阶 段 。 在 每 个 阶段 ， 每 个 进程 最 多 发 送 两 个 消息 。 如 果 环 包含 N THE, 
则 每 个 阶段 最 多 发 送 2N 个 消息 ， 最 多 有 logN 个 阶段 ， 这 导致 消息 数 的 上 限 是 2NlogN。 
在 该 协议 中 ， 没 有 进程 重复 发 送 消息 。 因 此 ， 不 可 能 有 无 限 执行 ， 正 确 性 也 不 需要 任 
何 公平 性 假设 。 
练习 4. 14: 对 于 图 4-21 的 领导 选举 协议 ,假设 环 有 16 个 节点 ， 各 个 进程 标识 符 的 顺序 是 : 25, 3, 6, 
15, 19, 8, 7, 14, 4, 22, 21, 18, 24, 1, 10, 23, 哪个 进程 会 被 选举 为 领导 ? 
练习 4. 15”: 针对 图 4-21 中 的 领导 选举 协议 ， 描 述 最 好 的 和 最 坏 的 场景 : (a) 描 述 在 第 一 阶段 后 只 有 一 个 
节点 是 活跃 的 场景 ;(b) 描 述 协 议 在 选举 前 需要 logN 个 阶段 的 场景 。 


4.3.2 可 靠 传 输 


给 定 一 个 不 可 靠 的 通信 介质 ， 我 们 如 何 实现 以 接收 顺序 正确 传输 每 个 消息 的 可 靠 的 
FIFO 链 路 ? 更 具体 地 ， 我 们 要 设计 进程 P, AP, 使 得 图 4-22 所 示 的 组 合 系统 采用 不 可 靠 
通信 和 链 路 UnrelFIFO( 如 图 4-19 所 示 ) 的 两 个 实例 ， 作 为 有 输入 /输出 通道 的 可 靠 的 FIFO 
缓冲 区 。 进 程 P, 是 发 送 方 的 接口 ，P, 是 接收 方 的 接口 。 不 可 靠 链 路 UnrelFIF01 将 消息 
从 进程 P, 传输 给 进程 P,， 不 可 靠 链 路 Unrel FIFO2 将 消息 从 进程 P, 传输 给 进程 P,。 


= i Ba ePi F = 
UnrelFIFO, 


图 4-22 ”可靠 通 信 的 方 框图 


换 位 协议 (ab 协议 ) 

为 了 传送 进程 P, 在 输入 通道 in 上 接收 的 消息 ， 需 要 向 进程 P, 重复 发 送 消息 ， 因 为 
链 路 UnrelFIFO1 可 能 丢失 消息 ， 并 且 进 程 P, ma MHE P, 发 送 回 一 个 显示 确认 ， 以 
表示 P, 成 功 发 送 消息 。 该 确认 也 需要 重复 发 送 ， 以 确保 消息 最 终 传 送 成 功 ， 来 说 明 丢 失 
的 消息 。 主 要 的 设计 难点 是 当 消 息 和 确认 都 元 余 时 ， 如 何 将 消息 与 确认 匹配 。 一 个 经 典 的 
解决 方法 是 换 位 协议 ， 它 利用 交换 布尔 标签 位 使 得 发 送 者 和 接送 者 进程 同步 。 

4-23 显示 了 发 送 者 接口 进程 P,。 它 维护 消息 队列 z， 该 队列 接收 输入 通道 in 的 消 
息 ， 并 通过 输入 任务 A; 处 理 该 队列 。 状 态 变量 tag 定义 为 布尔 变量 ， 并 初始 化 为 1。 当 进 
程 P, 通过 队列 zi; 上 的 不 可 靠 FIFO 链 路 将 内 部 队列 工 的 队 首 的 消息 发 送 给 接收 者 进程 P， 
时 ， 得 到 变量 tag 的 当前 值 消息 ， 且 未 将 该 消息 从 队列 x 删除 。 输 出 任务 A 可 能 会 重复 
执行 。 当 发 送 者 进程 P, 在 通道 xx 上 获得 来 自发 送 者 的 标签 位 形式 的 确认 时 ， 它 检查 接收 
到 的 标签 与 自己 的 标签 是 否 匹 配 ; 如 果 检 查 成 功 ， 它 将 消息 从 队列 z 中 删除 并 置换 该 标 
签 。 通 过 输入 任务 A 建立 确认 标签 的 处 理 模 型 。 标 签 的 置换 可 能 会 导致 重复 发 送 队 列 x 
上 的 下 一 个 消息 ， 在 输出 通道 上 增强 更 新 后 的 标签 。 需 要 注意 的 是 ， 任 务 A 一 直 是 使 能 
的 ， 但 是 如 果 传 人 确认 标签 与 期 望 标签 不 一 致 ， 则 它 不 改变 状态 。 公 平 性 假设 包含 输出 任 
务 的 弱 公 平 性 : 一 旦 将 消息 插入 队列 z， 任 务 A 就 保持 使 能 状态 ， 并 且 应 该 最 终 在 通道 
Zi 上 发 送 第 一 个 消息 。 
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queue (msg)x := null; bool tag = 1 


A; Enqueue (in, x) 


msg in 


A,: -Empty (x) > x! (Front (x), tag) 


bool x, | 42: if [x= tag^-Empty (x)] then {tag = 一 tag; Dequeue (x) } 





图 4-23 换 位 协议 的 发 送 者 进程 

图 4-24 显示 了 接收 者 进程 P,。 它 接收 的 消息 存储 在 内 部 队列 y 中 。 该 进程 还 需要 维 
护 一 个 布尔 值 标 签 状态 变量 ， 它 初始 化 为 0。 需 要 注意 的 是 ， 发 送 者 进程 P, 和 接收 者 进程 
P, 的 标签 位 的 初始 值 是 彼此 互补 的 : 开始 以 及 每 一 个 步骤 中 ， 发 送 者 进程 P, 期望 来 自 接 
收 者 的 传人 标签 与 已, 的 内 部 标签 相同 ， 而 接收 者 期 望 来 自发 送 者 的 传人 标签 与 自己 的 内 
部 标签 互补 。 当 接收 者 进程 P, 在 输入 通道 y, 上 接收 消息 时 ， 它 检查 传人 消息 的 标签 是 否 
与 它 的 内 部 标签 互补 。 如 果 互 补 ， 则 认为 传人 消息 是 新 消息 ， 并 将 它 加 入 队列 y 中 。 这 可 
以 通过 输入 任务 A, 实现 ， 其 中 使 用 原 语 First 和 Second 来 检索 传 入 消息 的 两 个 字段 。 
再 次 注意 ， 任 务 A 一 直 是 使 能 的 ， 如 果 传 人 标签 不 是 它 所 期 待 的 ， 则 忽略 该 传人 消息 。 
队列 y 中 的 消息 通过 输出 任务 A, 传输 到 输出 通道 中 。 接 收 者 P, 也 通过 通道 y; (由 输出 任 
务 A: 实现) 不 断 地 向 发 送 者 进程 P, 发 送 其 标签 的 当前 值 作为 确认 。 为 了 保证 消息 最 终 在 
两 条 输出 通道 上 传输 ， 输 出 任务 A, MA, 的 公平 性 假设 包括 弱 公 平 性 。 因 为 这 些 任务 可 以 
用 于 竞争 动作 ， 所 以 不 需要 强 公平 性 。 


queue(msg)y:=null;booltag:=0 
A.: -Empty (y)— out := Dequeue (y) 
Ax: J! tag 
A: if Second (y,) Æ tag then 
{tag := -tag; Enqueue (First (y,), y) } 


E 424 换 位 协议 的 接收 者 进程 


以 下 场景 描述 了 协议 是 如 何 执行 的 。 假 设 进程 P, 在 输入 通道 in 上 接收 消息 om, P, 
将 通过 不 可 靠 通道 向 进程 也. 重复 发 送 消息 Coxi ，1)。 每 个 这 样 的 消息 可 能 会 丢失 或 复制 。 
同时 ， 进 程 P, 可 以 向 进程 P, 重复 地 发 送 标签 位 0, 但 是 P, 将 忽略 所 有 这 样 的 确认 。 当 消 
Bn, DEKE yi 第 一 次 成 功 发 送 给 进程 已 f, P, 将 标签 位 设置 为 1， 并且 将 m 插 
入 输出 队列 y。 消 息 m 最 终 会 被 传输 到 输出 通道 out 中 。 进 程 P, 将 忽略 通道 y; 接收 的 消 
息 (m:，1) 的 男 一 个 副本 ， 因 为 它 的 当前 标签 为 1: 只 有 当 消 息 的 标签 为 0 时 ， 才 会 将 下 
一 个 消息 作为 最 新 消息 。 进 程 P, 将 重复 向 P, 发 送 标签 1 作为 通道 y 的 确认 。 每 个 这 样 
的 消息 也 会 丢失 或 复制 ,但 进程 P, 最 终 会 在 通道 xs 上 接收 标签 1。 此 时 ， 进 程 已 , 将 从 其 
内 部 队列 z 中 删除 消息 mx;1， 并 将 它 的 标签 变量 置换 为 0。 如 果 在 此 期 间 通 道 in 接收 了 其 
他 消息 ， 则 将 这 些 消息 插入 队列 z+， 如 果 mm, 是 下 一 个 挂 起 的 消息 ， 则 进程 P, 将 通过 通道 
x 开始 向 P, 发 送 消息 (ms, ，0)。 如 果 进 程 P, 在 通道 xx 上 接收 了 其 他 标签 消息 1， 则 这 些 

消息 被 忽略 。 只 有 当 接 收 到 标签 0 时， 进程 P, AKA m 从 队列 x 中 删除 。 
练习 4. 16: 假设 我 们 已 经 知道 从 接收 者 到 发 送 者 之 间 的 通信 和 链 路 是 可 靠 的 。 那 么 如 何 修改 换 位 协议 来 并 
利用 它 ? 即 设计 简化 的 进程 P, MP, MH unrelFIFO02 被 替换 为 进程 Buffer 时 ， 使 得 

4-22 中 的 组 合 系统 能 使 用 可 靠 的 FIFO 缓冲 区 。 

练习 4. 17" : 考虑 练习 4.11 中 设计 的 进程 VeryUnrelFIF0 的 描述 ， 它 是 一 个 不 可 靠 的 链 路 ， 可 能 会 丢 
失 消 息 、 复 制 消息 或 重 排 消 息 。 首 先 ， 说 明 如 果 我 们 将 UnrelFIFoO 的 每 个 实例 替换 为 对 










(msg bool ) y, 
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应 进程 VeryUnrelFIFO 的 实例 ， 则 换 位 协议 无 法 正确 工作 。 如 何 修改 进程 P, 和 了 P,， 使 
得 能 够 保证 可 靠 通信 ， 即 使 是 添加 重新 排序 的 复杂 性 ?” 论述 修改 后 的 协议 能 够 正确 工作 。 
提示 : 一 个 布尔 值 标 签 是 不 够 的 ， 并 且 消 息 需要 一 个 nat 类 型 的 计数 器 变量 。 


4.3.3 等 待 无 关 共识 ” 


为 了 了 解 共享 对 象 支持 的 原子 原 语 的 选择 如 何 影响 分 布 式 协调 问题 的 解决 能 力 ， 我 们 
考虑 一 个 等 待 无 关 两 进程 共识 的 经 典 问题 。 每 个 进程 开始 时 都 有 一 个 只 有 自己 知道 的 最 初 
偏好 。 进 程 想 通 信 并 达成 一 个 公认 的 判定 值 。 该 问题 已 经 通过 多 种 形式 提出 ， 人 例如， 要求 
两 个 拜占庭 将 军 负责 协 调 被 敌 军 分 开 的 军队 ， 以 便 在 到 达 相 互 同意 的 攻击 时 刻 交 换 消 息 。 
在 面 对 无 法 预测 的 延迟 时 ， 达 成 协议 的 核心 问题 是 许多 分 布 式 计 算 问 题 的 重点 问题 。 

问题 描述 

更 具体 地 ， 我 们 有 两 个 异步 进程 P 和 P;， 每 个 进程 都 有 一 个 初始 布尔 值 v Mw, 
并 且 互 相 不 知道 。 进 程 想 分 别 获得 布尔 判定 值 d 和 ws ， 使 得 满足 了 以 下 3 个 需求 : 1) 两 
个 进程 的 判定 值 d; Ald, 是 相同 的 ; 2) 判 定 值 必须 等 于 ww Kv. 的 初始 值 ; 3) 在 任意 时 刻 ， 
如 果 只 涉及 一 个 进程 的 任务 重复 执行 ， 则 该 进程 将 获得 一 个 判定 值 。 第 一 个 需求 又 称 为 约 
定 ， 意 味 着 两 个 进程 需要 达成 同一 个 判定 ， 即 使 它们 从 不 同 的 偏好 开始 。 第 二 个 需求 称 为 
有 效 性 ， 如 果 两 个 进程 都 偏向 相同 值 ， 则 它们 必须 判定 该 值 。 该 需求 排除 了 输入 未 知 方 
法 ， 例 如 ， 不 管 两 个 进程 的 初始 偏好 是 什么 ， 两 者 都 判定 0。 第 三 个 需求 称 为 等 待 无 关 ， 
确保 一 个 进程 可 以 自己 决定 ， 而 不 需要 无 限期 地 等 待 另 一 个 进程 。 

假设 想 要 设计 进程 P 和 P;， 使 得 它们 可 以 通过 共享 对 象 如 原子 寄存 器 和 测试 & 设 
置 寄 存 器 来 通信 。 在 组 合 系统 中 ， 每 个 动作 可 以 是 进程 的 内 部 动作 ， 也 可 以 是 一 个 进程 在 
某 一 个 共享 对 象 上 的 原子 操作 。 

使 用 原子 寄存 器 的 错误 方法 

问题 的 正确 性 需求 和 设计 一 个 正确 方法 的 挑战 可 以 使 用 只 满足 某 些 需求 的 协议 最 好 地 
证 明 。 首 先 ， 考虑 图 4-25 所 示 的 方法 。 该 方法 使 用 两 个 共享 原子 寄存 器 x! 和 x。， 每 个 都 
是 图 4-10 所 示 的 进程 AtomicReg 的 实例 。 这 里 ， 值 集合 val 是 {0，1，null} ， 每 个 共享 
寄存 器 的 初始 值 initVal 是 null, 


AtomicReg{0, 1, nul1}x, = null; x, := null 


bool pref), dec, 
{0, 1, null }other, := null 


x, = pref, 
other, := x, 
if other, # null 


then dec, := pref, V other, 
else dec, := pref, 


bool pref,, dec, 
{0, 1, null}other, ;= null 


other, := x; 


if other, # null 
then dec, := pref, V other, 
else dec, := pref, 


图 4-25 利用 原子 寄存 器 实现 的 两 进程 一 致 性 的 第 一 种 解决 方案 


进程 Pi 的 初始 偏好 保存 在 它 的 状态 变量 pref 中 ， 它 的 目标 是 终止 时 将 判定 变量 dec, 
设置 为 判定 值 。 进 程 P, 首先 将 偏好 写 人 共享 寄存 器 zx ， 类 似 地 ， 进 程 P; 将 偏好 (由 状态 
变量 pref, 的 初始 值 确定 ) 写 入 共享 寄存 器 x。 进程 P 在 将 偏好 写 人 去 后 ， 读 取 共 享 寄存 
器 xz。， 并 保存 在 内 部 状态 变量 other 中。 由 于 这 两 个 进程 异步 执行 ， 所 以 当 进 程 Pi 执行 
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Ma, 的 操作 时 ， 不 能 保证 进程 P; 已 经 将 偏好 写 和 人 zs。 考 虑 这 个 可 能 性 ， 进 程 P, 检查 它 
读 取 的 值 是 否 为 null1。 如 果 是 aul1， 则 选择 自己 的 偏好 值 ; AM, Pi 获知 P 的 偏好 ， 
Pi 选 定 两 个 偏好 的 逻辑 析 取 值 。 进 程 P; 同 理 。 

但 是 ， 该 协议 是 有 缺陷 的 。 假 设 Pi 和 P; 的 初始 偏好 分 别 为 0 和 1。 首先 执行 仅仅 涉 
及 进程 P 的 任务 ， 直 到 结束 。 然 后 执行 进程 P; 的 所 有 操作 。 在 这 种 场景 下 ， 当 进程 P 
读 取 zs 时 ， 它 的 值 仍 然 是 null, Kie Pi 选择 自己 的 偏好 0。 然 而 ， 当 进程 P EM x, 
时 ， 接 收 值 为 0， 并 且 选 择 两 个 初始 偏好 的 析 取 为 1。 因此， 该 协议 违反 了 约定 需求 。 可 
以 观察 到 ， 该 协议 不 满足 有 效 性 需求 (如 果 两 个 初始 偏好 为 0， 则 都 选择 0; 如 果 两 个 初始 
偏好 为 1， 则 都 选择 1， 不 管 两 个 进程 操作 的 执行 顺序 ) 和 等 待 无 关 需 求 ( 每 个 进程 在 终止 
前 明确 地 执行 3 次 操作 ， 且 进程 中 的 操作 不 依赖 于 其 他 进程 )。 

我 们 可 以 尝试 通过 要 求 每 个 进程 一 直 等 待 ， 直 到 知道 其 他 进程 的 偏好 来 “修复 ” 约 
E. 图 4-26 显示 了 修改 后 的 约定 : 在 进程 Pi 读 取 共享 寄存 器 之 后 ， 如 果 它 的 值 为 
null， 则 返回 并 重读 z: 。 修 改版 本 满足 了 约定 需求 ， 因 为 两 个 进程 只 有 在 它们 知道 了 两 
个 偏好 后 才 做 决定 。 有 效 性 需求 也 成 立 。 然 而 ， 违 反 了 等 待 无 关 需 求 。 原 因 是 ， 如 果 进 程 
P, 还 没 执行 对 zs 的 写 操作 ， 则 进程 Pi 将 重复 地 读 取 zs ， 且 不 能 获得 自己 的 判定 。 


AtomicReg {0, 1, null}x, :=null;x :=nul1 


bool pref', dec, bool pref, dec, 
{0, 1, null }other, := null {0, 1, nul1}other, := null 
x, := pref, xX, := pref, 
other, := x else other, := x, 
else 
other, ~null 一 other,~null 一 
dec, := pref, V other, dec, := pref, V other, 


图 4-26 利用 原子 寄存 器 实现 两 进程 一 致 性 的 第 二 种 解决 方案 


使 用 测试 & 设置 寄存 器 的 方法 
使 用 单个 测试 &. 设置 寄存 器 解决 共识 问题 是 AtomicReg bool x;; x, 
可 以 的 。 考 虑 以 下 使 用 了 两 个 布尔 原子 寄存 器 zi、 Test&SetRegy:=0 
zs 和 测试 & 设置 寄存 器 y( 如 图 4-27 R P Dn do Bo ile 
N. FER, m 的 初始 值 不 重要 ，y 的 初始 值 ‘ $ 
为 0。 进 程 P, 执行 以 下 动作 序列 ， 进 程 P, 遵循 对 x, = pref, x= pref; 
称 协议 。 进 程 P, 首先 将 它 自 己 的 偏好 写 人 原子 寄 hae 
存 器 mm 。 然 后 它 在 寄存 器 y 上 执行 test&set 操 ie 
作 。 如 果 返 回 值 ( 存 储 在 状态 变量 s, 中 ) 为 0( 表 示 ifs=1 ifs=1 
在 执行 进程 P, 的 test&set 操作 前 ， 寄 存 器 y 为 。 NMS eR 


0), 则 P 继续 ， 并 且 选 定 自己 的 偏好 。 如 果 

test&set 操作 在 y 上 接收 的 值 为 1， 则 进程 已 总 4-27 采用 测试 & 设置 寄存 器 实现 

结 出 以 下 结论 ， 另 一 个 进程 P 已 经 成 功 执行 了 CLs none 
test&set 操作 ， 因 此 寄存 器 z 必须 包含 进程 Pe 的 偏好 。 然 后 进程 P 读 取 x, REE 
包含 的 值 。 总 之 ， 每 个 进程 都 在 一 个 共享 原子 寄存 器 上 发 布 它 的 偏好 ， 通 过 执行 test&set 操 
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作 来 解决 问题 ， 并 且 基 于 这 个 测试 结果 来 决定 采用 谁 的 偏好 。 每 个 进程 执行 固定 次 数 的 操 
作 ， 因 此 可 以 直接 决定 ， 而 不 需要 等 待 其 他 进程 。 

使 用 原子 寄存 器 解决 共识 问题 的 不 可 能 性 

4-27 的 正确 方法 的 关键 在 于 使 用 原子 操作 test&set， 它 更 新 寄存 器 并 返回 旧 值 ， 
无 需 干 涉 其 他 进程 。 如 果 要 求 只 能 使 用 原子 寄存 器 ,其 中 读 和 写 操作 是 无 关 的 ， 则 不 管 协 
议 使 用 了 多 少 个 共享 寄存 器 以 及 每 个 寄存 器 可 以 保存 多 少 值 ， 都 没有 什么 好 的 方法 可 以 同 
时 满足 约定 、 有 效 性 和 等 待 无 关 这 3 个 需求 。 

对 于 图 4-27 的 协议 ， 考 虑 初始 状态 pref =0 和 pref; 二 0。 从 两 个 判定 都 是 可 行 的 意义 
上 讲 ， 这 样 的 状态 称 作 无 约束 的 : 从 这 样 的 状态 开始 ， 在 一 个 可 能 的 执行 中 ， 两 个 进程 结 
束 时 选择 0， 而 另 一 个 可 能 的 操作 将 导致 两 个 进程 选择 1。 以 下 证 明 过 程 的 第 一 步 是 假设 无 
约束 状态 必须 存在 于 每 个 协议 中 ， 以 便 正确 解决 共识 问题 。 图 4-27 中 的 协议 ， 从 pref, =0 
和 pref, =O 的 状态 开始 ， 当 两 个 进程 都 执行 一 步 后 ;将 各 自 的 偏好 写 入 变量 x, 和 zi。 该 
状态 仍然 不 受 约束 ,但 如 果 由 Pi 执行 下 一 步 ， 则 最 后 的 判定 一 定 是 0( 不 管 执行 顺序 如 
何 )。 同 时 ， 如 果 由 Pe 执行 下 一 步 ， 则 最 后 的 判定 一 定 是 1。 该 证 明 的 关键 部 分 在 于 假设 
对 于 每 个 共识 协议 ， 必 须 有 一 个 不 受 约束 的 可 达 状 态 ， 使 得 下 一 步 就 是 最 终 判定 的 决定 性 
因素 。 对 于 图 4-27 中 的 协议 ， 该 关键 步骤 与 共享 寄存 器 上 的 test& set 操作 有 关 。 通 过 证 
明 如 果 进 程 在 一 步 内 所 能 做 的 操作 是 读 或 写 原子 寄存 器 ， 则 可 以 证 明 该 步骤 不 是 关键 决定 
因素 ， 因 此 ， 只 使 用 原子 寄存 器 不 能 解决 共识 问题 。 

定理 4. 1( 使 用 原子 寄存 器 解决 共识 问题 的 不 可 能 性 ) 没有 一 个 两 进程 共识 协议 ， 使 
得 : 1) 进 程 只 使 用 原子 寄存 器 作为 共享 对 象 来 通信 ; 2) 协 议 满 足 约 定 、 有 效 性 、 等 待 无 关 
等 3 个 需求 。 

证 明 假设 对 于 两 进程 共识 问题 ， 存 在 一 个 只 使 用 原子 寄存 器 的 解决 方法 。 考 虑 迁移 
系统 T， 其 对 应 的 系统 由 两 个 进程 P, 和 P; 组 成 ， 并 且 协 议 使 用 了 所 有 原子 寄存 器 。 了 的 
状态 s 包含 两 个 进程 的 内 部 状态 和 所 有 共享 原子 寄存 器 的 状态 。 系 统 T 的 迁移 要 么 是 两 个 
进程 中 一 个 进程 的 内 部 动作 ， 要 么 是 涉及 一 个 进程 和 一 个 共享 寄存 器 的 读 动作 ， 要 么 是 涉 
及 一 个 进程 和 一 个 共享 进程 的 写 动作 。 = 

从 一 个 给 定 状 态 开 始 ， 许 多 执行 都 是 可 能 的 ， 但 是 每 个 执行 都 是 有 限 的 ， 都 在 两 个 进 
程 决 定 的 状态 结束 。 如 果 两 个 判定 0 和 1 仍然 是 可 能 的 ， 我 们 认为 状态 * 是 不 受 约束 的 : 
存在 一 个 从 状态 s 开始 的 执行 ， 其 中 两 个 进程 都 选择 0， 存 在 另 一 个 从 状态 s 开始 的 执行 ， 
其 中 进程 都 选择 1。 如 果 所 有 执行 从 状态 s 开始 ， 且 进程 选择 0， 则 该 状态 称 作 0 约束 ; 如 
果 所 有 执行 从 状态 * 开始 ， 且 两 个 进程 都 选择 1， 则 该 状态 称 作 1 约束 。 

如 果 进 程 P; 的 内 部 状态 在 状态 s 和 + 上 下 都 是 一 样 的 ， 并 且 每 个 共享 寄存 器 的 状态 在 状 
态 5 和 上 下 也 是 一 样 的 ， 则 称 两 个 状态 * 和 是 P, 无 法 区 分 的 。 即 ， 从 进程 PL 的 角度 看 ， 
RE s 和 + 是 一 样 的 : 如 果 P 能 在 状态 s 下 执行 动作 ， 则 它 能 在 状态 上 下 执行 同样 的 
动作 。 

引 理 1 如 果 两 个 状态 3 和 t 是 卫 :无 法 区 分 的 ， 则 没有 状态 是 0 约束 的 、 状 态 上 是 1 
约束 的 情况 。 

等 待 无 关 需 求 指 的 是 在 任何 状态 下 开始 ， 如 果 执 行 只 涉及 其 中 一 个 进程 的 任务 ， 则 它 
必须 做 出 判定 。 如 果 两 个 状态 s Alt 是 Ps 无 法 区 分 的 ， 则 状态 s 是 0 约束 。 在 状态 5， 如 
果 只 让 进程 P; 执行 动作 ， 则 它 最 终 会 做 出 判定 ， 根 据 所 有 在 状态 s 下 开始 的 执行 将 导致 
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判定 0 的 假设 ， 则 做 出 的 判定 一 定 是 0。 现 在 考虑 如 果 只 让 进程 P, 在 状态 :下 开始 执行 ， 
将 发 生 什么 。 由 于 状态 s 和 + 对 于 进程 P, 来 说 是 一 样 的 ， 所 以 进程 将 执行 相同 的 动作 序 
列 ， 并 且 做 出 同一 个 判定 0。 因此， 状态 t 不 可 能 是 1 约束 。 

证 明 的 下 一 步 是 下 面 的 引 理 : 

引 理 2 存在 一 个 不 受 约束 的 初始 状态 。 

考虑 初始 状态 s， 在 该 状态 下 ， 两 个 进程 的 偏好 o 和 vw 是 不 同 的 ， 分 别 为 0 和 1。 我 
们 声明 该 状态 必须 是 不 受 约束 的 。 如 果 不 是 ， 假 设 它 是 OAR. ERE s, HE P 有 偏好 
1。 既 不 是 共享 寄存 器 的 初始 值 ， 也 不 是 属于 Po 的 状态 变量 的 初始 值 反 映 了 进程 P 的 初 
始 偏好 。 考 虑 初始 状态 :， 在 初始 状态 下 ， 共 享 寄存 器 的 初始 值 和 P 的 状态 变量 与 状态 s 
下 的 那些 变量 一 样 ， 但 选择 进程 P, 的 初始 状态 ,使 它 的 初始 偏好 为 1。 即 ， 状 态 s Alle 的 
唯一 不 同 就 在 于 进程 P, 的 初始 偏好 。 从 结构 上 状态 s 和 4 SEP. 不 可 区 分 的 。 根 据 引 理 1， 
我 们 得 出 状态 上 不 可 能 是 1 约束 。 但 是 这 与 有 效 性 需求 相反 ;在 状态 :， 两 个 偏好 都 为 1， 
因此 每 个 在 状态 :开始 的 执行 一 定 会 导致 判定 1( 否 则 ， 协 议 不 满足 有 效 性 需求 )。 

接着 证 明 以 下 引 理 : 

引 理 3 存在 一 个 不 受 约束 的 可 达 状 态 s， 使 得 状态 s 的 所 有 后 继 状 态 都 是 受 约束 的 。 

用 反 证 法 来 证 明 引 理 。 首 先 ， 注 意 协议 不 可 能 终止 在 一 个 不 受 约束 的 状态 ， 因 为 两 个 
进程 都 要 求 做 出 一 个 相同 的 终止 判定 。 如 果 引 理 3 不 成 立 ， 假 设 每 个 不 受 约束 的 可 达 状 态 
有 一 个 不 受 约束 的 后 继 状态 。 考 虑 引 理 2 保证 的 不 受 约束 的 初始 状态 s,。 更 确切 地 说 ， 状 
AS % 是 可 达 的 ， 根 据 假设 ，s, 一 定 有 一 个 不 受 约束 的 后 继 状 态 s, 。 再 次 重复 该 论证 ;在 第 
j 步 , 有 一 个 不 受 约束 的 可 达 状 态 %， 根 据 假设 ， 在 下 一 步 有 一 个 不 受 约束 的 后 继 状态 
sti。 这 意味 着 ， 存 在 一 个 无 限 执行 ， 在 该 执行 中 进程 还 没 做 出 判定 ， 通 过 违反 正确 性 需 
求 取得 约定 需求 。 下 面 证 明 引 理 3 一 定 成 立 。 

考虑 满足 引 理 3 的 状态 *。 状 态 * 是 不 受 约束 
的 ， 也 就 是 说 ， 两 个 判定 仍然 是 可 能 的 ， 但 是 执行 。 PESA, 
多 步 就 可 以 使 进程 限制 协议 做 出 最 终 判 定 。 不 失 一 ose) Ak 
般 性 ， 假 设 存在 使 用 任务 A 的 进程 Pi 的 操作 s>s PP 执行 的 任务 4,\、 ,PP, 不 可 区 分 的 状态 
和 使 用 任务 A: 的 进程 P 的 操作 ss ， 使 得 每 次 都 0 约束 
以 状态 SI 开始 执行 ， 结束 于 判定 0, 从 状态 S2 开始 m R 
的 执行 导致 判定 1( 如 图 4-28 Bm). E T Ei 
是 内 部 动作 、 共 享 寄存 器 的 读 操作 ， 或 共享 寄存 器 
的 写 操作 。 为 了 完成 证 明 ， 我 们 考虑 任务 A! MA 的 所 有 可 能 类 型 ， 在 每 种 情况 下 都 得 出 
一 个 矛盾 的 结论 。 

假设 进程 Py 的 任务 Ay 对 应 于 共享 原子 寄存 器 的 读 操作 。 该 任务 的 执行 不 会 修改 任何 
共享 对 象 的 状态 ， 也 不 会 修改 进程 P 的 内 部 状态 。 因 此 ， 状 态 s 和 s, 是 进程 P. 不 可 区 分 
的 。 由 于 这 两 个 状态 对 进程 P; 是 一 样 的 ， 所 以 它 可 以 在 状态 s 执行 任务 AL, ， 并 使 得 结果 
状态 为 (如 图 4-28 MR). RA t Alls, 是 Pe 不 可 区 分 的 。 但 是 当 状态 上 是 0 约束 时 ， 状 态 
s 是 1 约束 ， 这 与 引 理 1 矛盾。 

其 中 一 个 任务 是 内 部 任务 的 情况 与 任务 A; 所 涉及 的 读 操作 的 情况 相 类 似 。 有 趣 的 情 
况 是 ， 当 两 个 任务 A! 和 A; 都 执行 写 操作 。 有 两 个 子 情况 : 它们 两 个 对 同一 个 寄存 器 进行 
写 ; 以 及 对 不 同 的 寄存 器 进行 写 。 我 们 考虑 前 一 种 情况 ， 将 后 一 种 情况 留 作 练习 。 

考虑 两 个 进程 对 同一 个 原子 寄存 器 x 进行 写 的 情况 。 即 ， 在 状态 *， 进 程 Pi 向 寄存 器 
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工 写 某 个 值 mr,， 得 到 状态 ss ， 同 时 进程 P; 向 同一 个 寄存 器 ec PSARNE m, CARS 
sz。 需 要 注意 的 是 ， 在 状态 5 ， 即 使 寄存 器 z 的 值 与 它 在 状态 s 下 的 值 不 同 ， 进 程 P; 的 内 
部 状态 在 状态 s 和 si 下 也 是 一 样 的 。 关 键 在 于 对 应 于 写 寄 存 器 的 任务 执行 不 会 受 寄存 器 的 
当前 值 的 影响 。 因 此 ， 在 状态 ss ， 进 程 P; 可 以 对 寄存 器 zx 写 相同 的 值 rx;， 得 到 状态 Cn 
图 4-28 所 示 )。 进 程 P1 对 工 写 的 值 m 实 际 上 丢失 了 ， 并 且 不 会 影响 进程 P, 在 状态 s 所 做 
的 事情 。 在 状态 * 和 上， 进程 P; 的 内 部 状态 是 一 样 的 ， 所 有 共享 寄存 器 的 状态 也 是 一 样 


的 。 因此， 
理工 矛盾 。 


练习 4. 18: 


练习 4.19: 


练习 4. 20” 


练习 4.21" 


练习 4. 22° 


状态 > 和 是 进程 P: 不 可 区 分 的 ， 状 态 ELAR, KA OAR, WAS 
7 

通过 考虑 能 使 任务 A SHEF c, EA A, 写 不 同 的 共享 寄存 器 y 的 情况 ， 完 成 定理 4.1 
的 证 明 。 
考虑 以 下 异步 模型 中 两 进程 共识 问题 的 解决 方法 。 进 程 使 用 共享 原子 寄存 器 zx 和 共享 测试 &. 
设置 寄存 器 y。 寄 存 器 z 的 可 能 取 值 为 null1、0 和 1， 初 始 值 为 nu11。 寄 存 器 y 的 可 能 取 值 
为 0 和 1,， 并 且 初 始 值 为 0。 每 个 进程 执行 以 下 步骤 ;: 
1) 将 它 的 初始 偏好 写 人 寄存 器 z。 
2) 在 寄存 器 y 上 执行 测试 & 设置 操作 。 
3) 如 果 步 骤 2) 返 回 值 0， 则 选择 自己 的 初始 偏好 。 
4) 如 果 步 又 2) 返 回 值 1， 则 读 取 寄存 器 z 并 判定 读 取 的 值 。 

考虑 共识 问题 的 3 个 需求 : 有 效 性 、 约 定 和 等 待 无 关 。 该 协议 能 满足 哪个 需求 ? 证 明 你 
的 答案 。 


: 考虑 多 个 进程 的 一 般 性 共识 问题 ， 每 个 进程 从 初始 偏好 位 开始 并 选择 一 个 共用 的 布尔 值 。 


协议 必须 满足 约定 需求 (所 有 都 判定 相同 的 值 )、 有 效 性 需求 (判定 值 必须 是 一 个 进程 的 偏 
好 ) 和 等 待 无 关 需 求 ( 如 果 进 程 自己 执行 ， 则 在 有 限 步骤 内 做 出 判定 ， 而 不 需要 等 待 其 他 进 
程 )。 假 设 原子 寄存 器 的 描述 和 4. 2. 3 节 描述 的 测试 & 设置 寄存 器 是 广义 的 ， 使 得 一 个 寄 
存 器 可 以 被 多 个 进程 访问 。 解 释 为 什么 在 基于 单个 restgSetReg 寄存 器 的 两 进程 协议 解 
决 竞争 中 描述 (如 图 4-27 所 示 ) 的 策略 不 能 适用 于 3 个 进程 。 尝 试 设计 一 个 使 用 两 个 
Test&SetReg 寄存 器 解决 三 进程 共识 问题 的 方法 ， 并 说 明 你 的 尝试 失败 了 (注意 : 当 进 程 
个 数 为 3( 或 更 多 ) 时 ， 没 有 只 使 用 原子 和 测试 & 设置 寄存 器 的 方法 ) 。 


: 考虑 在 原子 寄存 器 的 情况 下 支持 读 和 写 操作 的 共享 对 象 StickyBit， 只 做 一 些 调整 。 进 


程 stickyBit 的 内 部 状态 可 以 是 null、0 和 1， 其 初始 值 为 null。 读 操 作 输 出 当前 
值 。 写 操作 有 一 个 与 它 相关 的 布尔 (0 或 1) 输 入 值 : 如 果 当 前 状态 为 null1， 则 将 状态 
更 新 为 写 人 的 值 ， 但 如 果 它 不 是 nulI1( 即 如 果 状 态 已 经 是 0 或 1)， 则 值 保 持 不 变 。 描 
述 使 用 单个 stickyBit 对 象 ( 可 以 使 用 任意 数量 的 原子 寄存 器 ) 解 决 两 进程 共识 问题 的 
协议 。 你 可 以 使 用 多 个 stickyBit 和 AtomicReg 对 象 解决 3 个 (或 更 多 ，n) 进 程 的 共 
识 问题 吗 ? 


: 该 练习 描述 一 个 经 典 难 题 ， 它 要 求 设计 一 个 异步 协调 策略 。 开 始 时 有 N 个 囚犯 一 起 判定 策 


略 。 然 后 每 个 囚犯 被 带 到 他 自己 的 房间 。 一 个 狱警 走向 一 个 房间 ， 并 将 囚犯 锁 进 有 开关 的 
房间 。 开 关 状 态 可 以 是 开 或 关 。 人 允许 囚犯 检查 开关 的 状态 ， 然后 可 以 选择 摇动 开关 。 将 办 
犯 带 进 自己 的 格子 里 。 狱 警 经 常 无 限 多 次 重复 这 个 过 程 。 狱 警 带 囚 犯 进 格子 的 顺序 是 任意 
的 ， 尤 其 是 在 其 他 囚犯 查看 房间 开关 前 ， 一 个 囚犯 对 房间 开关 的 检查 次 数 没 有 限制 。 然 而 ， 
狱警 要 保证 公平 性 : 每 个 因 犯 都 可 以 无 限 多 次 访问 房间 。 在 任意 时 刻 ， 任 意 囚 犯 都 可 以 大 
声 说 出 “我 证 明 每 个 囚犯 都 检查 了 房间 的 开关 至 少 一 次 "。 根 据 这 个 声明 ， 如 果 它 确实 是 正 
确 的 ， 则 所 有 的 囚犯 都 是 自由 的 ; 如 果 它 不 正确 ， 则 所 有 囚犯 立即 处 决 。 那 么 囚犯 应 该 采 
取 何 种 策略 保证 他 们 的 最 终 自由 呢 ? 注意 ， 囚 犯 不 知道 开关 的 初始 状态 ,但 是 作为 热身 练 
习 ， 你 可 以 考虑 相同 的 问题 除了 知道 开关 的 初始 值 。 
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参考 文献 说 明 


有 关 异 步 并 发 进程 的 形式 化 模型 和 分 布 式 算法 的 研究 历史 非常 丰富 ， 可 以 追溯 到 文献 
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活性 需求 





如 第 3 章 所 述 ， 需 求 可 以 分 为 两 类 : 安全 性 (safty) 需 求 ， 表 示 “ 坏 的 事情 永远 不 会 发 
Æ”; 活性 (liveness) 需 求 ， 表 示 “ 好 的 事情 总 是 会 发 生 ”。 举 例 来 说 ， 在 领导 选举 问题 中 ， 
核心 的 安全 性 需求 是 没有 两 个 节点 同时 声明 自己 是 领导 ， 而 核心 的 活性 需求 是 每 个 节点 最 
终 都 做 出 一 个 判定 。 在 第 3 章 中 ， 我们 学 习 了 怎样 说 明和 验证 安全 性 需求 。 在 本 章 中 我 们 
将 关注 活性 需求 。 这 些 需 求 利 用 时 序 远 辑 来 描述 。 检 查 一 个 模型 是 否 满足 时 序 逻 辑 所 描述 
的 性 质 称 为 模型 检验 。 


5. 1 时序 逻辑 

我 们 再 看 一 看 3. 1. 2 节 中 铁路 信号 灯 系 统 的 例子 。 给 定 火车 的 模型 和 所 要 求 的 需求 ， 
设计 问题 就 是 构建 一 个 控制 器 ， 使 得 由 控制 器 和 火车 所 组 成 的 系统 满足 需求 。 一 个 基本 的 
需求 是 两 列 火 车 不 应 该 同时 在 桥 上 行驶。 这 条 安全 性 需求 可 以 用 以 下 属性 描述 

TrainSafety: 7[(modew = bridge) A (moder = bridge) ] 

并 且 我 们 要 求 该 属性 是 组 合 系统 的 不 变量 。 很 明显 ， 对 于 所 要 求 的 控制 器 ， 这 并 不 是 一 条 
完整 的 规约 : 保持 所 有 控制 信号 一 直 是 红 灯 的 控制 器 对 属性 TrainSafty 是 安全 的 ， 但 
这 是 不 能 接受 的 ， 因 为 这 让 所 有 的 火车 都 无 法 进入 该 桥 。 我 们 需要 在 这 条 安全 性 需求 的 基 
础 上 增加 活性 需求 ， 以 确保 控制 器 允许 火车 通过 该 桥 。 对 于 以 火车 系统 为 例 的 资源 分 配 问 
题 ， 虽 然 通 常 有 经 典 的 安全 性 需求 ， 但 活性 需求 则 要 求 满足 不 同 的 要 求 。 例 如 ， 我 们 可 能 
要 求 “ 如 果 有 一 列 火 车 要 求 进入 该 桥 ， 那 么 最 终 有 一 列 火车 将 允许 进入 该 桥 ”， 或 者 我 们 
可 以 要 求 一 个 更 强 的 需求 “如 果 一 列 火车 要 求 进入 该 桥 ， 那 么 最 终 该 列 火 车 应 该 允许 进入 
该 桥 ”。 

安全 性 需求 的 违反 是 通过 一 条 有 限 执行 路 径 来 验证 的 ， 该 有 限 执行 路 径 引 导 系 统 从 初 
始 状态 迁移 到 一 个 错误 状态 。 例 如 ， 图 3-7 的 反例 就 是 一 条 有 限 执行 路 径 ， 它 说 明 我 们 第 
一 次 为 铁路 系统 设计 的 控制 器 是 错误 的 。 而 活性 需求 的 违反 并 不 是 通过 这 样 的 有 限 路 径 来 
说 明 。 相 反 ， 它 是 一 个 状态 环 路 ， 这 个 环 路 在 初始 状态 是 可 达 的 ， 如 果 这 个 环 路 是 可 重复 
执行 的 ， 那 么 活性 需求 就 不 满足 。 因 此 ， 活 性 需求 的 数学 形式 考虑 系统 的 无 限 执行 。 说 明 
无 限 执行 需求 的 自然 形式 化 表示 就 是 时 序 远 辑 。 时 序 逻 辑 包 含 很 多 变量 ， 它 不 但 能 表示 安 
全 性 需求 ， 而 且 还 能 表示 活性 需求 。 我 们 将 学 习 经 典 的 时 序 逻 辑 一 一 线性 时 序 逻 辑 (Line- 
ar Temporal Logic，LTL)。 线 性 时 序 逻 辑 是 属性 规约 语言 (Property Specification Lan- 
guage，PSL) 的 核心 。PSL IEEE 标准 ， 在 电子 设计 自动 化 领域 ， 许 多 商业 化 模拟 和 验 
证 工具 都 支持 它 。 


5. 1.1 线性 时 序 逻 辑 


令 V 是 类 型 变量 的 集合 ,假设 我 们 所 描述 的 需求 包含 这 些 类 型 变量 允许 的 值 。 给 定 
V 的 值 9， 也 就 是 说 对 V 分 配 稳定 类 型 的 值 ， 以 及 定义 在 V 上 的 布尔 表达 式 ，g(e) 表 示 
对 表达 式 e 使 用 赋值 "后 的 结果 值 。 当 gq(e) 等 于 1 时 ,我们 就 说 gq 的 赋值 满足 表达 式 e. 
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因此 我 们 可 以 用 布尔 表达 式 e 的 不 同 赋值 来 表示 一 个 约束 或 需求 : 当 根 据 赋值 表达 式 为 
1 时， 满足 需求 e。 例 如 ， 假 设 集合 V 包含 两 个 布尔 变量 xz 和 ys, WARES yK 
示 这 样 的 需求 : 这 些 变 量 都 应 该 取 相 同 的 值 。 当 值 g(x) 与 值 a(y) 相 同时 ， 赋 值 9 满足 
该 需求 。 

当 定 义 在 变量 集 V 上 的 表达 式 被 相应 地 赋值 时 ， 则 定义 在 V 上 的 时 序 逻 辑 公式 被 赋 
值 为 无 限 序列 。 这 就 是 说 ， 为 了 解释 时 序 逻 辑 公式 ， 我 们 需要 考虑 一 个 无 限 序 列 qq,…， 
其 中 序列 的 每 个 元 素 gq; 是 一 个 赋值 。 例 如 ， 当 和 集合 V 包含 两 个 布尔 变量 x 和 yy 时 ， 每 个 赋 
值 就 是 布尔 变量 x 和 y 的 赋值 ， 时 序 欣 辑 公式 则 被 赋值 为 无 限 序列 pg 二 (zi y) Carrs yo doer 
我 们 称 这 个 赋值 的 无 限 序列 为 V 上 的 路 径 (trace)。 

布尔 表达 式 用 来 表达 对 不 同 赋值 的 约束 ， 使 用 时 序 操作 符 把 这 样 的 表达 式 结合 起 来 ， 
这 些 时 序 操作 符 描述 路 径 中 赋值 序列 的 需求 。 因 此 ， 定 义 在 VV 上 的 布尔 表达 式 e HEAT PRB 
辑 公式 的 最 简单 形式 。 如 果 路 径 po 中 的 第 一 个 赋值 满足 布尔 表达 式 e， 那 么 我 们 就 说 该 路 
径 o 满足 e。 在 我 们 的 例子 中 ， 路 径 p 二 (zi ，y1) (ar, ye) WR LTL 公式 (zx 二 y)， 当 该 
路 径 中 的 第 一 个 赋值 满足 该 表达 式 时 ， 即 当 zi 二 yy 时 。 

时 序 操作 符 

我 们 先 考虑 时 序 操作 符 always， 用 口 表 示 。 当 一 条 路 径 上 的 所 有 赋值 都 满足 e 时 ， 该 
路 径 满足 LTL 公式 Cle。 例 如 ， 如 果 路 径 p 二 (zi1，y1)(z;，ys)… 上 的 每 个 赋值 都 满足 表 
达 式 (zx 二 y)( 即 对 于 每 个 jj，zj 王 y;)， 那 么 该 路 径 就 满足 该 LTL 公式 口 (z 二 y)。 因 此 ， 
AROS yR AR: 变量 zx My 应 该 永远 相等 。 图 5-1 说 明了 不 同时 序 逻 辑 公 式 的 
需求 。 


De @-@ -@ "0 0 -@ -@ 0900 "0 "0 ~ 

fue DB—OB—B— BD o_O 0 000 

O(eAO Of) O—+O—-@—-O0—>O0—- O00 BOO OO > 

00eO0—-+O0——-e—O0—0—O0—- o—__ o_O —-O0—O0— eo 

De 一 -OO 一 -0 一 0O 一 -OO 一 -OO 一 -0 一 @ 一 -@ 一 -@ 一 -@ 一 -@ 一 ~ 

e@ OF 
5-1 解释 LTL 的 时 序 操作 
与 操作 符 always 配对 的 时 序 操作 符 是 eventually， 用 @ 表 示 。 当 一 条 路 径 上 的 某 个 赋 
值 满足 e 时 ， 这 条 路 径 满足 LTL 公式 Oe。 例 如 ， 当 路 径 p= 二 (zi ，y1) (zz，ys)… 中 的 某 个 
WEW ERAR G= y) EEEE j, c=), AK p 就 满足 LTL 公式 O(Cz=y)。 因 
E, BRO@=y) RawK: 最 终 在 某 一 步 ， 变 量 zx 和 的 值 相等 。 


时 序 操作 符 next 用 品 表 示 ， 经 常用 来 断言 在 路 径 上 的 下 一 个 赋值 的 需要 。 当 赋值 qz 
满足 表达 式 e 时 ， 路 径 dg … 满 足 LTL 公式 Oe。 例如， 当 r=» MRE o= (zx1，y1) 


RE R 113 


(a2 y) WE EEL AROS y), 

最 后 一 个 时 序 操作 符 是 until， 用 2 表示， 该 操作 符 需 要 两 个 公式 作为 参数 。 如 果 直 到 
遇 到 一 个 赋值 满足 e 后 序列 中 的 每 个 赋值 才 满 足 表 达 式 f， 则 在 路 径 中 满足 LTL 公式 fU 
e。 这 就 是 说 ， 路 径 age HEAR fUe， 当 存在 一 个 位 置 j)， 使 得 赋值 g; 满 足 表达 式 。， 
并 且 从 qi 到 .gq;-1 的 每 个 赋值 都 满足 表达 式 fo PMN. HR p= lrs yi) yn) HA 
LTL 公式 (z= 二 0)U(y 二 1)， 当 存在 某 个 位 置 万 使 得 y =1 且 x 二 0(1 二 之 j)。 这 个 例子 
表示 需求 应 该 变 为 1， 直 到 x 应 该 保持 0。 

时 序 逻 辑 公 式 可 以 使 用 标准 的 逻辑 操作 符 组 合 起 来 ， 这 些 逻辑 操作 符 包 括 : AR 
(A), PROV). HA OOMREO. MM, WR p Me 是 两 个 LTL 公式 ， 那 么 我 
们 可 以 使 用 合 取 操 作 符 将 它们 组 合 起 来 得 到 LTL 公式 wm Apo RE o 满足 这 个 合 取 o 入 
gz IL p 同时 满足 py; Me. KR, WRR po 上 的 每 个 赋值 ，z 的 值 都 等 于 y， 并 且 
存在 一 个 赋值 使 得 z 等 于 0， 那么 6 就 满足 LTL 公式 口 (z= 二 y) AOG@=0), 

目前 为 止 ， 我 们 所 考虑 的 LTL 公式 中 时 序 操作 符 中 的 参数 是 包含 有 独特 的 赋值 的 。 
一 般 情况 下 ， 时 序 操作 符 是 可 以 概 套 的 ， 也 就 是 说 ， 时 序 操作 符 的 参数 可 能 是 复杂 的 时 序 
逻辑 公式 。 例 如 ， 考 虑 LTL 公式 O 口 (z=y)。 这 个 公式 表示 在 下 一步 中 ，(z= 三 妨 总 是 成 
立 : 路 径 p 王 (zi ，y1)(zz，y2)… 在 第 一 个 位 置 满足 该 公式 ， 当 它 在 第 二 个 位 置 满足 口 (x+== 
》， 也 就 是 说 ，zj 二 y;， 对 于 所 有 的 位 置 7 之 2。 

为 了 形式 化 带 有 柑 套 时 序 操作 符 的 LTL 公式 ， 我 们 要 定义 给 定位 置 的 满足 LTL 公式 
的 路 径 : 对 于 一 条 路 径 o， 以 及 位 置 j 宇 1 和 LTL 公式 pg，(p， 门 上 Fg 代表 “路 径 6 在 位 置 
j 满足 公式 gp”。 如 果 赋 值 gW Ee, IWAK o= aig. WEAR RIA e( 没 有 任何 时 序 操 
作 符 ) 。 如 果 路 径 6 在 位 置 j 十 1 满足 公式 p( 这 里 o 可 能 是 任何 LTL 公式 p)， 那 么 路 径 p 
在 位 置 j 满足 next 公式 O 〇 ps 这 就 是 说 ,“next pg” 在 某 个 位 置 成 立 ， 如 果 在 下 一 位 置 gp 成 
立 。 类 似 地 ， 如 果 路 径 p 在 某 个 位 置 k(k& 宇 站 满足 公式 pg( 这 里 pg 有 可 能 是 任何 LTL 公式 )， 
那么 路 径 p 在 位 置 7 满足 eventually 公式 9pg。 这 就 是 说 ,， “eventually pg” 在 某 个 位 置 成 立 ， 
如 果 gw 在 某 个 后 面 的 位 置 成 立 。 类 似 地 ，“always p” 在 某 个 位 置 成 立 ， 如 果 p 在 每 个 后 续 
位 置 成 立 。 

语法 和 语义 

下 面 我 们 将 给 出 逻辑 LTL 的 准确 定义 。 下 面 的 定义 不 仅 定义 了 逻辑 的 语法 (规定 了 逻 
辑 LTL 公式 的 正确 语法 形式 ) ， 而 且 还 定义 了 逻辑 的 语义 (规定 了 逻辑 LTL 公式 的 含义 ， 
根据 规则 在 路 径 上 给 公式 赋值 ) 。 这 个 逻辑 LTL 定义 是 可 归纳 的 ， 例如， 假设 我 们 已 经 定 
义 了 如 何 给 公式 zp 赋值 ， 那 么 它 描述 了 给 公式 Og 赋值 的 规则 。 


线性 时 序 逻 辑 
给 定 类 型 变量 的 集合 V， 线 性 时 序 逻 辑 的 公式 集合 由 下 列 规则 归纳 地 定义 : 
o WR e 是 定义 在 V 上 的 布尔 表达 式 , BAe 是 一 个 LTL 公式 。 
e 如 果 9 是 一 个 LTL 公式 ， 那么 一 pgp、O 〇 gp、Q9 MOp 也 是 LTL 公式 。 
e 如 果 p 和 ps 是 LTL 公式 ， WA pAg., gaVo, are M pU ps 也 是 LTL 
BK, 
给 定 一 条 路 径 p 二 qi9，…( 即 ， 定 义 在 V 上 的 无 限 赋值 序列 )， 一 个 位 置 7 之 1 和 一 
个 LTL 公式 g， 满 足 关系 (p，j7) 上 yg 表示 在 位 置 7 路 径 满 足 LTL 公式 g， 可 以 通过 以 
下 规则 归纳 地 定义 如 下 : 
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Cp, j) 上 Fe， 如 果 赋 值 % 满足 布尔 表达 式 e。 

(p, DETe, MREAREBOD, DEG 的 情况 。 

(p， PDEgANg, MRE DEp A, PEG. 

W, DEQVEn, WERE DEG Rd, YEG 

(po, DEgre, MRE, Fp SO, JEg 至 少 有 一 个 满足 。 
Cp, j F Og: 如 果 (p， jtDE@. 

(p, PEL go, MRUITRMLB RSs, (p, EG. 

(p，7)) 上 pgp， 如 果 对 于 某 个 位 置 RSJ, (p, EG. 

(p，j) 上 gp: U gp:， 如 果 对 于 某 个 位 置 x 宇 ;，(p,，k) 上 gp;， 且 对 于 所 有 位 置 i 使 
49 § Si<k, (pr IE pie 

o 路 径 o WE LTLAK p, MRO, 1) Fop 


注意 ， 路 径 pHa EME | 的 公式 满足 性 只 取决 于 该 路 径 从 位 置 六 开始 的 后 级 ， 也 
就 是 说 ， 取 决 于 赋值 gq;+1… 的 序列 。 这 是 因为 所 有 的 时 序 操作 符 都 涉及 未 来 的 位 置 。 值 
得 强调 的 是 ， 当 前 位 置 是 未 来 考虑 的 一 部 分 : “eventuallypg” 在 位 置 j 的 满足 性 要 求 在 某 
MLB kSj 满足 pgp。 因此 ， 如 果 在 某 个 位 置 满足 公 式 wp， 那么 在 那个 位 置 满足 “eventual- 
lyp”。 同 样 注意 ， 在 某 个 位 置 j 满足 until 公式 wm U g;， 我 们 要 求 在 某 些 位 置 & 宇 i 满足 公 
no, FHEAR wm 从 7 以 后 的 所 有 位 置 (包括 7 也 本身) 都 成 立 ， 并 严格 执行 到 位 置 &。 
eventually 操 作 符 仅 是 until 操作 符 的 一 种 特殊 情况 : gp 和 until 公式 1U p 有 一 样 的 含义 ， 
其 中 1 是 每 个 赋值 都 满足 的 布尔 常量 。 

说 明 性 的 时 序 模式 

时 序 操作 符 的 垦 套 带 来 了 有 趣 和 有 用 的 公式 。 这 里 我 们 强调 说 明 一 些 典 型 的 模式 ( 参 
见 图 5-1)。 

HEF: eventually 操作 符 的 租 套 应 用 可 以 用 来 要 求 某 种 特别 顺序 的 事件 序列 。 举 例 来 
说 ， 考 虑 对 应 于 公式 pi 和 gz 满足 性 的 两 个 事件 。 如 果 有 两 个 位 置 iMG), 使 得 在 位 
置 i 满足 pg1， 在 位 置 7 满足 pg;， 则 路 径 满足 LTL 公式 QCP 人 OQ9gps)。 例 如 ， 路 径 p= 
(Tis yi) (zs ’ y) WE LTL AROC LDA O9Cy=1)) , 当 我 们 找到 两 个 位 置 i A j 
i i<j Hai=1A yl. ER next 操作 符 的 使 用 要 求 两 个 事件 发 生 在 不 同 的 位 置 。 
如 果 有 两 个 位 置 和 j(i 壹 7) ， 使 得 在 位 置 ; Beg. EME] 满足 mr ， 则 该 条 路 径 满足 修 
改 后 的 公式 0 Co NOg). 

递归 公式 : 考虑 always-eventually 公式 口 Op。 如 果 Q9 EME p 上 的 每 个 位 置 ; 都 满 
足 ， 那 么 该 条 路 径 o 在 初始 位 置 满足 公式 2%Dp。 如 果 对 于 每 个 位 置 守 都 存在 一 个 未 来 的 位 
BjilSi, E4 p 在 位 置 7 满足 p， 那 么 这 个 条 件 成 立 。 进 行 推 理 ， 让 你 相信 这 个 条 件 
可 以 重新 形式 化 为 : 存在 一 个 位 置 jj 二 j; 二 j;… 的 无 限 序列 ， 使 得 p 在 这 些 位 置 的 每 个 位 
置 都 满足 。 换 句 话 说 ， 如 果 o 以 递归 或 者 重复 方式 满足 ， 则 口 0g WE. Hin, K p= 
(zi1，Y1)《zs，Y2)… 满 足 递 归公 式 口 90(z 二 0)， 当 对 于 无 限 多 个 位 置 ;)，zj 二 0 时 。 这 表示 
需求 给 z 重复 地 赋值 0。 

持续 公式 : 使 用 always-eventually 表 式 的 双重 递归 需求 的 是 eventually-always 公式 
ODp。 如 果 存 在 一 个 位 置 / 使 得 always 公式 口 p 满足 ， 也 就 是 说 ， 在 7 后 的 每 个 位 置 都 满 
足 pp， 那么 ? 口 p 就 满足 。 换 句 话 说， 需求 是 公式 o 最 终 满 足 并 且 以 持续 方式 继续 成 立 。 
例如 ， 路 径 p= 二 (zi，y1)(z:，ys)… 满 足 持续 公式 0 口 (z 二 0) 当 对 于 某 个 位 置 ;， 每 个 二 
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让 我 们 考虑 男 一 个 例子 来 理解 租 套 时 序 公 式 。 假 设 有 一 个 nat 类 型 的 变量 z。 考 虑 当 
x 的 值 分 别 是 偶数 、 奇 数 和 质数 时 ， 满 足 表 达 式 even(zx)、odd(zx) 和 prime(x)。 考 虑 路 
径 o 二 1，2，3，…( 即 在 这 条 路 径 的 第 了 个 位 置 将 值 7 赋予 变量 z)。 那 么 路 径 p WER 

DLeven(z) + (Oodd(x) A OOeven(z)) ] 
该 式 断 言 在 每 个 位 置 ， 如 果 工 是 偶数 ， 则 在 下 一 个 位 置 ， 工 是 奇数 ， 在 下 下 一 个 位 置 ，z 
是 偶数 。 这 条 路 径 o 还 满足 下 面 的 递归 公式 
DQprime(z) 

它 断 言 路 径 包 含 无 限 多 个 质数 。 


在 另 一 个 例子 中 ， 假 设 有 一 个 real 类 型 的 变量 zx， 考 虑 路 径 p 一 1， 广 ， L, o 
( 即 ， 在 这 条 路 径 的 第 j 个 位 置 将 值 2 TERE), WARR po 不 满足 eventuality 
公式 9(z 一 0),， 但 是 满足 persistence 公式 9 口 (ze)， 对 于 每 个 较 小 的 e 二 0。 

时 序列 含 和 等 价 

如 果 每 条 路 径 p 都 满足 LTL 公式 g， 则 说 该 公式 o 是 有 效 的 。 有 效 的 LTL 公式 也 称 
为 时 序 重 言 式 : 不 管 我 们 在 每 一 步 怎 样 选择 将 值 赋予 变量 它 都 满足 。 对 于 两 个 LTL 公式 
p Moe» WMRAAK ome 是 有 效 的 ， 则 当 路 径 o 满足 公式 wm 时 ， 我 们 确信 路 径 po 也 满 
足 公 式 g;。 在 这 种 情况 下 ，gi 表示 的 需求 比 m 表示 的 需求 强 ， 因 为 满足 一 个 也 就 意味 着 
满足 男 一 个 。 两 个 二 TL 公式 wm Ale 是 等 价 的 ， 记 为 pepo 如果 芍 含 式 are 和 gs 一 
p 都 是 有 效 的 。 对 于 两 个 等 价 的 公式 ， 路 径 要 么 都 满足 要 么 都 不 满足 。 

为 了 得 到 更 直观 的 有 关 时 序 操作 的 含义 ， 我 们 考虑 几 个 有 效 的 蕴含 和 等 价 公式 。 

如 果 路 径 o 满足 LTL 公式 口 p， 则 该 路 径 在 所 有 位 置 都 满足 wg， 特别 是 在 初始 位 置 ， 
Kik, e 满足 pgp。 这 里 的 讨论 与 9 的 选择 无 关 。 因 此， 对 于 每 个 LTL 公式 p. WAERO > 
9 是 有 效 的 ， 即 口 p 是 比 其 g 更 强 的 需求 。 相 反 的 情况 则 不 成 立 : 很 容易 找到 这 路 径 满足 
LTL 公式 pg， 但 是 不 满足 口 q 的 例子 。 然 而 ， 下 面 的 等 价 式 对 于 每 个 LTL 公式 g 都 是 有 
效 的 : 

Opele A OOọ] 
当当 前 位 置 满足 mp 且 下 一 位 置 满足 always 公式 口 时 ， 它 表示 满足 口 p。 这 个 等 价 式 可 以 
看 成 是 always 公式 的 “归纳 ”定义 。eventually 和 until 操作 符 的 类 似 归纳 定义 在 练习 5. 1 
中 可 以 找到 。 

如 果 路 径 在 特定 的 位 置 (比如 第 一 个 位 置 ) 满 足 递 归公 式 口 op， 则 在 这 个 位 置 的 下 一 
位 置 它 也 满足 相同 的 递归 公式 口 Og。 反 之 也 成 立 。 事 实 上 ， 对 于 每 条 路 径 o， 对 于 所 有 的 
位 置 i 和 j，(p, 7 上 口 0g SBMA 让 FF 口 Op。 因 此 ， 对 于 任何 LTL 公式 pg， 所 有 下 
面 3 个 公式 是 等 价 的 : 

Log? Ole? 000p 

时 序 和 逻辑 操作 符 的 规则 

通过 考虑 逻辑 和 时 序 操作 符 如 何 相互 分 配 ， 可 以 帮助 我 们 理解 时 序 和 逻辑 操作 符 之 间 
的 相互 作用 。 令 p! Ale 是 两 个 LTL 公式 ，o 是 一 条 路 径 。 该 路 径 o 满足 always 公式 
口 (pi 人 ps) 当 对 于 每 个 位 置 j，(p, 站 上 (pr 人 ps)。 当 对 于 每 个 位 置 j)，(p, DE wm 和 
(o: J) Fp 时 这 路 径 也 满足 always 公式 口 p 人 pg;。 这 相当 于 说 ， 当 路 径 p 同时 满足 口 gi 
和 口 gs 时 ， 也 即 路 径 p 满足 合 取 式 口 p; 人 ps 时 它 成 立 。 因 此 ， 我 们 建立 了 always 操作 符 
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对 合 取 的 分 配 。 所 以 ， 对 于 任何 两 个 LTL 公式 p 和 gp;， 下 面 的 等 价 关 系 是 有 效 的 : 
Olp A pp A Oe) 

让 我 们 检查 如 果 一 个 类 似 的 分 配 性 满足 析 取 式 : AROG Ve. A(Oe V Og) ETE 
一 样 的 ? 考虑 一 条 路 径 p。 假 设 o 满足 口 wi 。 那 么 对 于 每 个 位 置 7，(p，j) 上 gi。 根据 析 取 
语义 ， 我们 可 以 得 出 对 于 每 个 位 置 jj，(o, j) F Cp Vo) HIER I o 满足 always 公式 
Olp V gps)。 语 义 推理 允许 我 们 得 出 ， 如 果 o 满足 口 p:， 那 么 p 也 满足 口 (gi V p). M 
满足 析 取 口 pV 口 w 当 它 要 么 满足 口 w; 要 么 满足 口 ps 时 ， 并 且 无 论 何 种 情况 ， 我们 已 经 
建立 了 它 满足 口 (py Vg). MA, 下面 的 蕴含 式 是 有 效 的 : 

(Dg V Cle) > [Clp V pz) 

但 是 ， 相 反 的 蕴含 式 并 不 是 有 效 的 。 如 果 我 们 知道 路 径 po 满足 always ARO Co V 
gz:)， 那 么 我 们 知道 对 于 每 个 位 置 ， 要 么 满足 p HAWE p;。 但 是 这 并 不 需要 意味 着 要 人 么 
所 有 位 置 满足 wm ， 要 么 所 有 位 置 满足 mm 。 作 为 一 个 具体 的 反例 ， 假 设 给 变量 z 分 配 一 个 布尔 
值 。 考 虑 路 径 po 二 010101…， 其 中 值 0 和 1 以 交替 方式 赋予 zx。 该 条 路 径 满 足 品 (z= 二 0Vz= 
1), 但 是 它 既 不 满足 口 (x 二 0) 也 不 满足 口 (z= 二 1)。 

为 了 对 本 节 内 容 进行 总 结 ， 让 我 们 注意 时 序 操作 符 和 逻辑 非 的 相互 影响 。 第 一 个 ， 注 
意 一 口 p 等 价 于 0 一 pg( 类 似 地 ， 一 09 等 价 于 口 一 p) 。 这 导致 递归 和 持续 公式 之 间 的 对 偶 
HE: MBEBE 一 gp 是 持续 的 ， 则 属性 p 不 是 递归 的 。 这 就 是 说 ， 一 口 0g 等 价 于 @ 口 一 p。 
next 操作 符 的 对 偶 是 其 本 身 : 一 条 路 径 在 位 置 ; 不 满足 next 公式 Op， 当 该 条 路 径 在 位 置 
(7 十 1) 不 满足 公式 gp 时 ， 当 该 条 路 径 在 位 置 j 满足 公式 〇 “eht. Kik, LTL 公式 一 Og 
AMO “p 是 等 价 的 。 
练习 5. 1: 我 们 知道 always 公式 口 g 与 pg 人口 Og 是 等 价 的 。 找 出 与 eventually AR Oo 和 until 公式 p U 

gz 等 价 的 类 似 公式 。 证 明 你 的 答案 。 
练习 5.2: 对 下 面 的 每 对 公式 ， 说明 它 们 是 否 是 等 价 的 ， 如 果 不 等 价 ， 那么 每 对 中 的 一 个 是 否 是 比 男 一 
个 更 强 的 需求 。 证 明 你 的 答案 。 
1) Olp Ap MOC AOp) 
2) OoVm) 和 wp V Og) 
3) OO Cp Ag ACO ge ADO) 
4) Lea Vp) 和 (DOgp VOO@) 
练习 5.3; LTL 公式 “p U p 和 (一 gz)U( 一 gi) 是 否 等 价 ?” 如 果 不 是 等 价 的 ， 其 中 一 个 是 否 是 比 另 一 个 
更 强 的 需求 ? 证 明 你 的 答案 。 
练习 5.4: LTL 公式 口 (Cwm Ap MOC 人 qi) 是 否 是 等 价 的 ? 证 明 你 的 答案 。 





5.1.2 -LTL 规约 


我 们 可 以 利用 LTL 公式 描述 同步 和 异步 系统 的 需求 。 首 先 我 们 关注 同步 系统 。 

考虑 一 个 同步 反应 式 构件 C， 该 构件 的 输入 变量 为 1， 输出 变量 为 0。 这 种 构件 的 观测 
变量 的 自然 选择 是 输入 和 输出 变量 的 集合 TUO。 构件 C 的 LTL 规约 是 LTL 公式 g，g 定义 
在 观测 变量 的 集合 TUO 上 。 当 构件 的 执行 时 ， 这 个 构件 产生 的 输入 和 输出 的 无 限 序列 就 是 
这 个 构件 的 路 径 。 从 形式 化 上 ， 构 件 C 的 无 限 执 行 是 由 以 下 形式 的 无 限 序列 形式 构成 的 


五 /ol iz/o2 i3 /03 
Sone eS ae ee 53°45 


EE ECRIRE, FLEET joo, ss, 是 反应 C。 给 定 这 样 的 一 个 执行 ， 
输入 和 输出 的 无 限 序 列 ( 训 ，o01)(is，o0s)(is，03)… 是 C 的 路 径 。 构件 C 满足 属性 规约 pg 如 
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果 C 的 每 条 路 径 都 满足 pgp。 如 果 对 应 的 路 径 不 满足 g， 那 么 无 限 执行 称 为 该 规约 的 一 个 反 
例 。 检 查 构件 是 和 否 满 足 时 序 逻 辑 规约 的 问题 也 是 模型 检验 。 

例如 ， 我 们 的 第 一 个 构件 Delay( 见 图 2-1) 有 输入 变量 in 和 输出 变量 out。 定 义 在 这 

些 变量 上 的 LTL 公式 可 以 用 来 表示 对 期 望 时 序 行为 的 约束 。 特 别 是 ， 考 虑 下 面 这 个 规约 : 
Dlinr=0 => Otout = 0)] A OLGn = D= Ovout = D] 

这 条 规约 说 明 在 路 径 的 每 个 位 置 ， 如 果 in 的 值 是 0， 那么 在 下 一 位 置 out 的 值 是 1， 如 果 

in 的 值 是 1， 那 么 在 下 一 位 置 out 的 值 是 1。 确 实 ，Delay 构件 的 每 条 路 径 都 满足 这 个 规 

约 ， 所 以 我 们 说 这 个 构件 满足 这 个 规约 。 

另 一 个 例子 ， 考虑 构件 Clockedcopy，( 见 图 2-6)。 它 有 输入 变量 in 和 clock, WR 
输出 变量 out。 考 虑 如 下 的 LTL 公式 

LIL Cout = 0) > Cout = 0) U clock?] A OL Cout = 1) ~ O(out = 1) U clock? | 
这 个 公式 说 明 如 果 输 出 变量 out 的 值 在 给 定 的 循环 中 是 0( 或 1)， 那 么 它 保证 维持 0( 或 1， 
分 别 地 ) 直 到 clock 事件 发 生 。 它 描述 需求 : 在 每 个 循环 中 如 果 事 件 clock RRA, IBA Hi 
出 变量 应 该 不 改变 。 构 件 ClockedCopy 确实 满足 这 个 需求 。 

领导 选举 的 需求 

现在 我 们 再 考虑 2. 4. 3 节 中 讨论 过 的 领导 选举 问题 。 每 个 节点 的 判定 是 由 输出 变量 
status 捕获 的 ，status 是 枚 举 类 型 {unknown，leader，follower}。 虽 然 节 点 使 用 变量 
in 和 out 相互 交换 信息 ， 但 问题 的 设计 需求 说 明 可 以 接受 哪些 不 同 进程 的 status 变量 值 的 
路 径 。 节 点 n 最 终 需 要 做 出 判 的 需求 可 以 用 下 式 表 示 

OLstatus, = unknown] 
这 个 公式 说 明 对 于 给 定 的 节点 n， 对 应 于 该 节点 的 进程 SyncLENode 的 实例 的 状态 变量 的 
值 最 终 不 应 是 unknown。 安 全 性 需求 是 两 个 节点 不 应 该 考虑 它们 自己 是 领导 ， 它 可 以 用 
下 式 表 示 。 该 式 说 明 对 于 不 同 的 节点 mr 和 n， 要 人 么 m 永远 不 是 领导 节点 ， 要 么 nn 永远 不 是 
领导 节点 : 
O (status, Æ leader) V 口 (status, # leader) 

火车 控制 器 的 需求 

让 我 们 再 看 一 看 3.1.2 节 中 的 火车 控制 器 系统 。 我 们 考虑 系统 的 观测 变量 signalw 和 
signal, (这 两 个 变量 描述 了 信号 灯 ); 变量 modew 和 mode; (描述 火车 的 状态 )。 后 面 并 没有 
建 模 为 输出 变量 ， 因 为 对 环境 的 建 模 也 是 设计 中 规约 的 一 部 分 ， 所 以 在 写 需 求 的 时 候 也 是 
可 以 涉及 描述 环境 的 模型 状态 。 

当 一 个 LTL 公式 涉及 构件 的 状态 变量 工时 ， 路 径 的 每 位 置 的 赋值 都 应 该 说 明 xz 的 值 : 
在 对 应 于 无 限 执行 的 路 径 中 ， 在 位 置 ; 的 z 的 值 是 在 第 7 次 循环 的 开始 z 的 值 。 

基本 的 安全 性 需求 是 : 两 列 火车 不 应 该 同时 在 桥 上 ， 该 需求 可 以 用 always 公式 表示 : 

O = [(modew = bridge A (modes = bridge) ] 
考虑 下 面 的 活性 需求 ， 该 需求 断言 西边 的 火车 应 该 反复 进入 桥 : 
O0 modew = brideg) 

对 于 给 定 的 火车 模型 ， 没 有 控制 器 能 够 满足 这 个 需求 ， 因 为 这 个 模型 没有 并 不 要 求 火 
车 到 达 桥 上 : 一 列 火 车 可 以 一 直 保 持 模 式 away。 确 实 ， 这 对 于 资源 分 配 问题 不 是 一 个 合 
适 的 需求 。 准 许 响 应 是 (控制 器 设置 信号 为 绿色 是 请 求 的 前 置 条 件 ) 火 车 在 桥 上 等 待 。 考 虑 
以 下 修改 的 活性 需求 ， 该 需求 断言 如 果 西 边 的 火车 正在 等 待 那么 最 终 西边 的 信号 灯 将 变 为 
绿色 : 
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口 [Cmodew = wait > (signaly = green) ] 

这 个 LTL 公式 说 明 在 每 一 步 ， 如 果 条 件 modey=wait 成 立 ， 那 么 在 后 面 的 几 步 ， 条 
件 signaly=green 必须 成 立 。 这 就 是 LTL 公式 的 典型 模式 : 总 是 (请 求 草 含 最 终 响 应 )。 
我 们 想 要 检查 系统 RailRoadSystem2( 见 O 
图 3-8) 的 每 条 路 径 是 否 满足 这 个 规约 。 但 是 证 Pre = 
明 它 是 不 满足 的 。 反 例 在 图 5-2 中 解释 了 ， 反 cuits 
例 包含 步 又 的 初始 序列 和 其 后 重复 的 循环 执 EIE. ini i 
行 。 在 图 3-7 中 ， 每 个 状态 用 变量 modew, modes, nearw, nearp, west 和 east 的 值 来 证 
AR, a, w, b, g Mr 分 别 是 away. wait. bridge, green 和 red 的 缩写 。 反 例 中 的 
循环 对 应 了 这 样 的 情况 : 当 东 边 的 火车 在 桥 上 拒绝 离开 时 ， 西 边 的 火车 正在 等 待 。 我 们 可 
以 得 出 结论 : 如 果 控 制 器 让 东边 的 火车 在 桥 上 ， 而 这 列 火 车 从 来 不 离开 桥 ， 这 种 情况 与 给 
定 的 火车 模型 是 一 致 的 ， 则 控制 器 不 可 能 让 西边 的 火车 进入 桥 。 因 为 没有 控制 器 能 够 满足 
这 个 需求 ， 所 以 我 们 需要 修改 需求 的 规约 。 

活性 需求 的 另 一 种 标准 形式 由 修改 的 公式 gu 描述 ， 该 式 描述 了 如 果 西 边 的 火车 在 等 
待 ， 则 最 终 要 么 相应 的 信号 灯 变 为 绿色 ， 要 么 东边 的 火车 在 桥 上 : 

口 [Cmodew = wait) —>O[(signalw = green) V (modes = bridge)]] 

这 种 形式 的 需求 称 为 无 死 锁 : 虽然 它 不 能 确保 当 西 边 的 火车 请 求 进 入 桥 时 控制 器 对 西 
边 的 火车 有 反应 ， 但 可 以 它 确保 了 资源 的 利用 。 特 别 地 ， 保 持 两 个 信号 灯 一 直 都 是 红色 的 
控制 器 将 违反 这 个 需求 ， 由 于 设计 缺陷 保持 两 列 火车 以 死 锁 方式 互相 等 待 的 控制 器 也 违反 
这 个 需求 。 图 3-8 中 的 控制 器 contoller2 是 没有 死 锁 的 并 满足 规约 pao 

通过 准予 分 配 资源 给 请 求 者 来 满足 每 个 请 求 的 更 严格 的 需求 称 为 无 饥饿 。 在 我 们 的 例 
子 中 ， 如 果 西 边 的 火车 想 要 进入 ,无 饥饿 要 求 它 应 该 被 允许 进入 。 我 们 已 经 讨论 过 ， 这 是 
可 行 的 仅 当 东 边 的 火车 不 会 永远 停留 在 桥 上 。 下 面 的 公式 o 断言 假设 东边 的 火车 是 不 断 
地 离开 桥 ， 如 果 西 边 的 火车 正在 等 待 ， 西 边 的 信号 灯 最 终 应 该 变 为 绿色 : 

DO(C(modes = bridge) > DD[(modew = wait) —>O(signalw = green) | 

注意 py 表示 的 需要 比 par IR: 任何 满足 gy 的 路 径 也 满足 Pas? 但 是 反之 并 不 成 立 。 图 3-8 

中 的 控制 器 Controller2 事实 上 是 无 饥 饿 的 ， 并 满足 规约 pr。 特别 地 ， 可 以 排除 图 5-2 

的 反例 ; 因为 该 路 径 违 反 前 置 条 件 口 O(modes 二 bridge)， 所 以 它 满 足 gps。 

练习 5. 5: 考虑 2,4.1 节 中 同步 3 位 计数 器 的 设计 。 写 一 个 LTL 公式 来 表示 需求 : 如 果 输 入 信号 inc 反复 
地 设置 为 高 电 平 ， 则 保证 计数 器 将 反复 地 处 于 其 最 大 值 (也 就 是 说 ，3 个 输出 位 out, out, 和 
outs 都 是 1)。 图 2-27 中 的 电路 3BitConuter 是 否 满 足 这 个 规约 ? 

练习 5.6: 回顾 2.4.2 节 中 的 巡航 控制 器 系统 的 同步 设计 。 考 虑 如 下 的 需求 : 当 巡 航 控制 器 是 “on” 时 ， 
假设 驾驶 员 没 有 发 出 任何 进一步 的 输入 事件 ， 最 终 车 速 将 变 成 所 期 望 的 巡航 速度 并 保持 此 速 
度 。 请 用 LTL 描述 这 个 需求 ， 使 用 变量 on, speed, cruiseSpeed, cruise, inc 和 dec. 


5.1.3 异步 进程 的 LTL 规约 * 


LTL 公式 也 可 以 用 来 描述 异步 进程 执行 的 约束 。 考 虑 异步 进程 P， 它 有 状态 变量 S， 
输入 通道 了 和 输出 通道 O。 则 定义 在 集合 IUO 上 的 LTL 公式 可 以 用 来 描述 有 关 输 入 / 输 
出 序列 的 需求 。 我 们 可 以 采用 把 同步 构件 的 执行 与 路 径 相关 联 方 式 ， 把 P 的 无 限 执行 与 无 
限 路 径 相 关联 ， 只 是 有 两 点 改变 。 第 一 ， 在 异步 模型 中 ， 每 一 个 动作 要 么 是 内 部 的 动作 
(并 不 涉及 任何 输入 输出 通道 )， 要 人 么 是 输入 动作 (涉及 一 条 输入 通道 x), 要 么 是 输出 动作 
(涉及 一 条 输入 通道 y)。 为 了 解释 定义 在 变量 集合 IUO 上 的 LTL 公式 ,我 们 需要 赋值 的 
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无 限 序列 ， 这 里 每 个 赋值 需要 给 所 有 的 输入 和 输出 变量 分 配 值 。 为 了 把 PP 的 一 个 动作 解释 
为 所 有 输入 和 输出 变量 的 赋值 ， 我 们 将 未 定义 的 值 上 分 配给 动作 中 未 涉及 的 输入 或 输出 通 
道 。 第 二 ， 因 为 异步 进程 都 有 与 它 的 任务 相关 联 的 ( 弱 或 强 ) 的 公平 性 假设 ， 所 以 为 了 检查 
进程 是 否 满 足 LTL 规约 ， 我 们 考虑 只 与 公平 执行 相对 应 的 路 径 : 如 果 对 应 于 异步 进程 P 
的 每 个 公平 无 限 执行 都 满足 LTL 规约 o, WA PP 就 满足 p。 

假设 可 靠 地 通信 缓冲 区 具有 输入 通道 in 和 输出 通道 out， 我 们 想 要 描述 在 输入 通道 上 
发 送 的 消息 最 终 将 出 现在 输出 通道 上 ( 见 4. 3.2 节 )。 下 面 的 LTL 公式 描述 了 这 个 需求 ， 
其 中 vv 表示 msg 类 型 : 

D(Gihn=v) + O lout = v)) 
4.3.2 节 中 讨论 的 换 位 协议 在 这 里 讨论 的 公平 性 假设 下 满足 这 个 需求 。 

在 某 些 问 题 中 ， 异 步 方案 的 需求 与 同步 设计 的 相应 需求 并 没有 不 同 。 一 个 例子 是 领导 
选举 问题 。 我 们 已 经 学 习 了 用 LTL 公式 描述 这 样 的 需求 : 每 个 节点 n 最终 将 判定 ， 对 于 
每 对 节点 mm 和 nn， 要 人 么 节点 m 永远 不 是 领导 ,要么 永远 不 是 领导 。 相 同 的 公式 可 以 用 作 
异步 情况 的 需求 。 

同步 和 异步 需求 的 不 同 点 突出 表现 在 逻辑 门 的 规约 上 。 考 虑 一 个 有 输入 in 和 输出 out 
的 反 相 器 。 在 同步 情况 下 的 自然 规约 是 always 公式 

O (out = ~in) 
它 描述 了 输出 总 是 等 于 输入 的 否定 。 在 异步 情况 下 ， 该 规约 不 能 满足 ， 因为 输出 的 变化 与 
相应 输入 的 变化 是 解 耘 的 。 我 们 可 以 要 求 ， 如 果 输 入 是 0， 那 么 我 们 期 望 输出 最 终 是 1， 
假设 输入 保持 0 不 变 。 这 个 需求 可 以 用 下 面 的 公式 表示 : 
Ea (in= 0) > Gn = 02) Un = 1 V out = 1)) 
一 个 对 称 的 公式 可 以 表示 这 个 需求 : 如 果 输 入 是 1， 则 除非 输入 变 回 0， 否则 输出 最 终 
E1. 

我 们 也 可 以 写 涉及 状态 变量 以 及 输入 和 输出 通道 的 LTL 需求 。 为 了 解释 这 样 的 公式 ， 
w 执行 相对 应 的 路 径 也 保持 状态 变量 的 值 。 

公平 性 假设 

在 4.2.4 节 中 ， 我们 讨论 了 怎样 用 公平 性 假设 解释 异步 进程 的 任务 ， 这 样 就 只 需 考虑 
这 些 能 够 使 任务 永远 不 会 推迟 的 无 限 执行 。 为 了 检查 异步 进程 是 否 满足 给 定 的 LTL AX 
HMA, 我们 检查 每 个 公平 执行 是 否 满足 该 规约 。 现 在 我 们 讨论 怎样 在 LTL 规约 中 捕获 
公平 性 假设 。 与 公平 性 假设 相对 应 的 LTL 公式 对 于 更 好 地 理解 弱 公 平 与 强 公 平 之 间 的 区 
HEARN, 并且 提 出 检查 所 有 执行 是 否 满足 给 定 LTL 公式 的 分 析 工 具 怎 么 更 容易 适应 
以 便 检查 所 有 公平 的 执行 是 否 满足 LTL 规约 。 

考虑 一 个 异步 进程 P， 它 有 状态 变量 S， 输 入 通道 工 和 输出 通道 O。 为 了 在 LTL PR 
示 公 平 性 需求 ， 在 执行 的 每 一 步 ， 我 们 需要 能 够 表示 一 个 任务 是 否 是 使 能 的 和 一 个 任务 是 

否 是 被 使 用 的 。 对 于 PP 的 每 个 输出 和 内 部 任务 A， 用 Guard(A) 作 为 任务 A 的 守卫 条 件 ， 
守卫 条 件 是 定义 在 状态 变量 上 的 布尔 值 表达 式 ， 这些 状态 变量 的 值 表示 任务 A 在 这 状态 是 
否 是 使 能 的 。 因 此 ， 当 任务 A 在 执行 的 无 限 多 步 后 是 使 能 的 时 ， 那 么 一 个 无 限 执 行 就 满足 
LTL 公式 口 OGuard(A)。 虽 然 一 个 异步 进程 的 状态 包含 足够 的 信息 描述 任务 是 否 是 使 能 
的 ， 但 是 为 了 说 明 任 务 是 否 被 使 用 ， 我们 引入 额外 的 变量 taken， 这 个 变量 定义 在 任务 集 
合 上 : 在 每 一 步 它 的 值 表示 最 近 执 行 的 任务 。 修 改 任务 A 的 更 新 代码 ， 使 得 它 将 taken 值 
设置 给 A。 
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为 了 解释 这 些 ， 再 看 一 看 4.2.4 节 中 的 异步 进程 
AsyncEvenInc( 见 图 4-18)。 图 5-3 展示 了 具有 额外 变 
量 taken 的 进程 。 当 任务 A, 无 限 多 次 执行 时 ， 则 这 个 修 
改 后 的 进程 的 无 限 执行 满足 递归 公式 口 (Ctaken 一 A,) 。 

根据 这 个 修改 ， 对 于 给 定 的 输出 或 内 部 任务 A， 考 5-3 AsyncEventInc 的 修改 版 本 
虑 下 面 的 公式 







nat x := 0; y := 0;{4,, A,}taken 


A: x :=x + 1; taken := A, 





A,: even (x)—>{y := y + 1; taken ;= A,} 


wi(A):O[)]Guard(A) > (taken = A) 
这 个 公式 表示 需求 : WIRES A 一 直 是 使 能 的 ， 那 么 它 必须 不 断 地 被 使 用 。 因 此 ， 当 路 径 
对 应 于 无 限 执行 (对 于 任务 A 是 弱 公 平 的) 时 ， 该 路 径 满足 这 个 公式 。 为 了 检查 进程 Asyn- 
cEveninc 是 否 保 证 zx 的 值 最 终 超过 10， 假 设 对 于 任务 A, 是 弱 公 平 的 ， 守 卫 条 件 总 是 真 ， 
我 们 检查 图 5-3 中 的 修改 进程 是 否 满足 下 面 的 LTL 公式 
ODOCtaken = A,) > O(a > 10) 
这 条 LTL 规约 确实 在 进程 的 每 次 无 限 执行 时 都 是 满足 的 。 为 了 检查 y 的 值 是 否 保证 最 终 
超过 10, 假设 对 于 任务 A, 是 弱 公 平 的 ， 我 们 检查 图 5-3 的 进程 是 否 满足 以 下 LTL 公式 
[ODeven(zx) + DO(taken = A,)] ~O(y > 10) 

这 个 需求 并 不 成 立 : 在 无 限 执行 中 ,任务 A, 在 执行 的 每 一 步 都 不 满足 这 条 规约 ， 因 此 任 
务 A, 的 弱 公 平 假设 并 不 足以 确保 eventually 公式 @Cy 二 10) 的 满足 性 。 

注意 公式 wf(A) 与 下 面 的 公式 是 等 价 的 ， 它 断言 如 果 任 务 A 在 给 定 的 一 步 是 使 能 的 ， 
则 在 后 一 个 位 置 它 要 么 被 使 用 要 么 是 不 可 执行 的 : 

wf(A):(][Guard(A) > O((taken = A)] V ~ Guard(A))] 
给 定 的 任务 A 的 强 公平 性 假设 可 以 由 下 式 表示 : 
sf(A) :DOGuard(A) — DO(taken = A) 

该 式 断 言 如 果 任 务 是 重复 使 能 的 ， 则 它 必 须 是 重复 执行 的 。 因 此 ， 当 路 径 对 应 于 无 限 执行 
(对 于 任务 A 是 强 公平 性 的 ) 时 ， 该 路 径 满 足 这 个 公式 。 

为 了 检查 进程 AsyncEveninc 是 否 保 证 y 的 值 最 终 超过 10， 假 设 任务 A, 是 强 公平 
性 ， 我 们 检查 图 5-3 的 进程 是 否 满足 LTL 公式 

[DOeven(Cz) > DO(taken = A,)] >0(y > 10) 

事实 上 ， 这 个 LTL 公式 在 进程 的 每 条 无 限 执行 的 路 径 上 都 是 满足 的 。 

注意 ， 在 每 一 步 路 径 如 何 给 表达 式 Guard(A) 和 (taken 二 A) 赋 值 是 无 关 的 ， 下 面 的 时 
序列 含 是 有 效 的 : 

sf(A) — wf(A) 

它 解释 了 “ 强 公平 性 ”确实 是 比 弱 公平 性 更 强 的 需求 。 

不 要 求 异 步 进 程 P 的 所 有 公平 执行 都 满足 LTL 公式 pg， 我 们 要 求 进程 P 的 所 有 执行 
都 满足 条 件 LTC 公式 gir os HP pu 是 任务 A 的 弱 公 平 假设 wf(A) 和 强 公平 假设 sf(A) 
的 合 取 。 例 如 ， 对 于 图 4-19 中 的 进程 unrelFIFO， 我 们 假设 内 部 任务 A 的 强 公 平 性 是 正 
确 将 一 个 元 素 从 队列 z 传递 到 队列 y， 输 出 任务 A。. 的 弱 公 平 性 是 将 元 素 从 内 部 队列 > 传 
送 到 输出 通道 。 为 了 要 求 所 有 的 公平 执行 满足 LTL 公 






式 p， 等 价 于 要 求 所 有 的 执行 都 满足 下 式 natx=0;y=0;boolz=0 
GECA) A wh(Agud) > @ event in i rs 
二 


练习 5.7: 考虑 两 个 弱 公 平 性 的 规约 : 
gı :L)Guard(A) — DO(taken = A) 


Ay z=1l—y:=y+l 
图 5-4 练习 : 公平 性 假设 下 的 满足 
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All 
g: :J[Guard(A) + ( (taken = A) V 7 Guard(A))) ] 
请 证 明 这 两 个 LTL 公式 是 等 价 的 。 
515.8: 考虑 5.4 中 的 一 个 进程 P， 它 有 输入 任务 A:， 内 部 任务 A, 和 A,。 对 于 下 面 的 每 个 LTL 公式 ， 
进程 P 满足 这 个 公式 ? 如 果 不 满足 ， 存 在 当 进 程 满足 这 个 规约 时 关于 任务 执行 的 合适 的 公平 
性 假设 吗 ? 当 增 加 公平 性 假设 时 ， 明 确 指 出 你 使 用 强 公平 性 还 是 弱 公 平 性 ， 并 给 出 理由 。 
1) OCa>5) 
2) OCy>5) 
3) D0O(z=1)—>0(y>5) 


5.1.4 LTL" 


通过 说 明 一 些 逻 辑 LTL 的 限制 作为 编号 需求 的 规约 语言 来 总 结 本 节 。 这 些 限 制 引 出 
了 许多 LTL 的 扩展 和 变种 。 虽 然 详细 地 学 习 各 种 时 序 逻 辑 和 它们 各 自 的 优点 超出 了 本 书 
的 范围 ， 但 下 面 的 讨论 仅仅 是 对 丰富 的 时 序 逻 辑 的 简单 介绍 。 

分 支 时 间 时 序 逻 辑 

当 系 统 的 所 有 执行 都 满足 LTL 公式 时 ， 在 对 应 于 系统 的 单个 执行 的 路 径 上 对 该 公式 
进行 评估 ， 并 且 系 统 满足 该 公式 。 在 这 个 解释 下 ， 不 可 能 要 求 一 些 执行 满足 一 种 类 型 的 需 
求 ， 而 另 一 些 执行 满足 其 他 类 型 的 需求 。 尤 其 是 ， 对 于 4. 3. 3 节 讨 论 的 一 致 性 问题 ， 考 虑 
需求 “如 果 两 个 进程 Pi 和 了 ;的 偏好 在 初始 时 是 不 一 样 的， 那么 两 个 判定 都 是 可 能 的 ”这 
个 需求 不 能 用 LTL 来 描述 ， 但 是 可 以 用 “分 支 时 间 ” 时 序 逻 辑 来 描述 。 使 用 变量 pref, 和 
pref; 来 描述 两 个 进程 的 初始 偏好 ， 变 量 deci 和 decs 描 述 终止 时 的 判定 。 下 面 的 分 支 时 间 时 
FH CTL(Computation Tree Logic) 的 公式 用 来 描述 这 个 需求 ; 

(pref, A pref.) > [ JO(dec,; = dec; = 0) A IOQldec = dec, = 1)] 

除了 逻辑 和 时 序 操作 符 以 外 ， 逻 辑 CTL 还 允许 存在 量词 (了 ) 和 全 称 量词 C(V)。 这 式 解 释 
为 所 有 执行 的 树 形 结构 ， 其 中 树 的 节点 对 应 于 状态 ， 分 支 对 应 于 每 个 节点 的 各 种 可 能 选择 
的 后 继 状 态 。 存 在 量词 的 分 支 时 间 公 式 3 9 在 某 个 节点 满足 ， 如 果 存 在 一 个 从 对 应 状态 上 
开始 的 执行 o, 使 得 po 满足 公式 p， 其 中 可 能 包含 时 序 操作 符 。 

状态 时 序 逻 辑 

给 定 一 个 布尔 变量 e， 考 虑 如 下 的 需求 : 变量 e 的 值 在 每 个 偶数 位 置 都 为 1。 可 以 证 明 
没有 LTL 公式 正确 描述 这 样 的 需求 。 注 意 LTL 公式 

Ote=1) A Olle = 1) > O0Ce= N] 

表示 更 强 的 需求 ， 对 于 要 满足 这 个 公式 的 路 径 ， 不 仅 需 要 在 每 个 偶数 位 置 e 的 值 必须 为 1， 
而 且 如 果 e 的 值 在 某 个 奇数 位 置 碰 巧 为 1， ABA RAY e 的 值 在 所 有 后 续 的 奇数 位 置 都 是 1 
时 满足 这 公式 。 直 观 地 ， 要 求 的 需求 “e 的 值 在 每 个 偶数 位 置 都 为 1” 要求 规约 逻辑 维护 
一 个 描述 一 个 位 置 是 奇数 还 是 偶数 的 内 部 状态 变量 ， 而 LTL 公式 不 能 维护 这 样 的 状态 。 
这 个 缺陷 已 经 导致 带 有 正则 表达 式 的 LTC 的 扩展 (或 者 等 价 的 确定 性 有 限 自动 机 ) 来 表示 
有 状态 时 间 约 束 。IEEE 标准 属性 规约 语言 (PSL) 人 允许 时 序 操 作 符 和 正则 表达 式 相 结 合 。 

有 限 路 径 上 的 解释 

在 我 们 的 LTL 形式 化 定义 中 ，LTL 需求 描述 只 针对 在 系统 的 无 限 执行 的 约束 。 因 
此 ， 如 果 同 步 反 应 式 构 件 C 没有 无 限 执行 (如 果 构 件 C 不 是 输入 使 能 的 ， 则 这 可 能 发 生 )， 
则 不 管 我 们 考虑 哪个 LTL 公式 gp， 构件 C 毫 无 意义 地 满足 需求 pg。 同样 ， 因 为 不 是 每 个 可 
达 状 态 都 需要 出 现在 某 个 有 限 执行 上 ， 所 以 给 定 一 个 状态 属性 pg， 系统 可 以 满足 always 公 
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Hoe, SSR g 不 是 系统 的 不 变量 。 如 果 我 们 重新 定义 LTL 公式 的 语义 ， 使 得 公式 可 
以 在 有 限 路 径 上 评估 ， 则 有 可 能 避免 这 个 异常 。 如 果 p= gaan 是 有 限 路 径 ， 且 ISj< 
m 是 这 条 路 径 上 的 一 个 位 置 ， 则 

(p;j) 上 F 口 pg 如 果 (p,&k) 上 gq 对 于 所 有 位 置 k(j km) 
A 

(ej FOR WRIKkEGDI+DESG 

这 样 ， 主 要 的 区 别 是 : Op 现在 意味 着 它 不 是 路 径 的 结束 并 且 下 一 个 位 置 满足 pg。 现 在 ， 
如 果 每 个 无 限 路 径 和 有 限 路 径 ( 对 应 于 C 的 最 大 执行 ) 都 满足 LTL 公式 g， 则 构件 C 满足 
9。 这 里 ， 最 大 执行 是 指 C 的 有 限 执行 ， 它 在 执行 的 结束 状态 没有 后 继 ( 也 就 是 说 ,执行 不 
能 扩展 至 另 一 个 状态 )。 直 观 地 ， 最 大 路 径 对 应 于 终结 (或 死 锁 ) 执 行 ， 以 及 确保 在 评估 
LTL 公式 时 包括 的 这 些 执行 我 们 检查 构件 的 所 有 可 达 状 态 。 注 意 ， 在 对 所 有 有 限 执行 的 
LTL 公式 的 评估 是 没有 意义 的 : 如 果 一 个 系统 在 5 次 循环 后 满足 eventualityp， 则 少 于 5 
次 的 系统 执行 时 不 满足 eventually 公式 Og， 但 不 能 作为 反例 (尽管 存在 一 些 不 包含 满足 p 
的 状态 的 最 大 执行 ， 但 它 确实 表示 违反 了 需求 9g)。 建 立 满足 LTL 规约 的 系统 的 所 有 分 析 
技术 都 易于 修改 以 说 明 这 样 的 修改 解释 。 


5.2 模型 检查 


在 第 3 章 中 ， 我 们 看 到 典型 的 安全 性 验证 问题 是 不 变量 验证 问题 : 给 定 一 个 迁移 系统 
T 和 定义 在 它 的 状态 变量 上 的 属性 ?， 我 们 想 要 检查 迁移 系统 T 的 所 有 可 达 状 态 是 否 都 满 
足 属性 p。 对 于 自动 验证 ， 我 们 简化 不 变量 验证 为 可 达 性 问题 ,为 了 检查 属性 p 是 否 是 迁 
BAST 的 不 变量 ,我 们 检查 违反 p 的 状态 是 否 是 可 达 的 ， 如 果 是 ， 则 相应 的 执行 就 是 不 
变量 验证 问题 的 反例 。 然 后 我 们 学 习 了 解决 可 达 性 问题 的 枚 举 和 符号 算法 。 

重复 性 问题 

在 模型 检验 中 ， 给 定 描述 为 同步 反应 式 构件 或 者 异步 进程 的 系统 ， 以 及 一 个 LTL 规 
约 ， 我 们 想 要 检查 系统 的 每 个 执行 是 否 满足 给 定 的 LTL 规约 。 活 性 验证 的 核心 计算 问题 
就 是 一 个 重复 性 问题 : 给 定 一 个 迁移 系统 和 定义 在 它 的 状态 变量 上 的 属性 op， 存在 一 个 
T 的 无 限 执行 ， 该 系统 重复 遭遇 满足 属性 p 的 状态 (也 就 是 说 ， 某 些 系统 的 无 限 执行 满足 
递归 公式 口 0g) 吗 ? 这 个 重复 性 形式 也 称 为 Biichi 可 达 性 ，Biichi 是 以 逻辑 学 家 J. Richard 
Biichi 命名 的 ， 他 研究 了 在 无 限 字 上 的 有 限 自动 机 ， 总 结 了 一 种 优雅 的 理论 一 一 w 正则 语 
言 ， 这 种 语言 反映 了 有 限 字 上 的 正则 语言 的 经 典 理论 。 我 们 将 说 明 LTL 模型 检验 问题 ， 
也 就 是 检查 给 定 系统 的 每 条 路 径 是 否 满 足 给 定 的 LTL 规约 ， 这 可 以 转化 为 从 LTC 规约 派 
生出 的 系统 和 监控 器 的 组 合 的 重复 性 问题 。 在 安全 性 需求 检查 中 ， 说 明 监 视 器 的 某 些 错误 
状态 可 达 性 的 有 限 执行 就 是 表示 需求 违反 的 反例 。 类 似 地 ， 在 模型 检查 中 ， 说 明 监视 器 的 
某 些 错 误 状 态 的 重复 性 的 无 限 执行 就 是 表示 活性 需求 违反 的 反例 。 


迁移 系统 的 重复 性 问题 
迁移 系统 工 的 一 条 无 限 执行 包含 一 个 形式 为 po 一 s%，sl ，… 的 无 限 序 列 ， 使 得 so 是 


Pp， 使 得 p 满足 递归 LTL 公式 口 p， 那 么 定义 在 工 的 状态 变量 上 的 属性 p 是 重复 的 。 
给 定 迁 移 系统 T 和 定义 在 工 的 状态 变量 上 的 属性 pw， 重复 性 问题 就 是 检查 p 是 否 是 重 
复 的 。 
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对 于 给 定 的 迁移 系统 T 和 属性 p， 当 重复 性 问题 的 答案 是 正 的 时 ， 我 们 想 要 论证 属性 
gp 中 的 一 条 无 限 执行 是 重复 的 。 用 状态 s 举例 说 明 这 样 一 个 典型 执行 ， 使 得 1) 状 态 s 从 初 
始 状态 开始 是 可 达 的 ; DRE s 从 其 自身 经 过 一 个 或 更 多 个 迁移 是 可 达 的 ; DRE s 满足 
属性 p。 这 就 是 说 ， 作 为 证 据 ， 我 们 将 产生 一 个 循环 ， 这 个 循环 从 初始 状态 是 可 达 的 并 且 
包含 一 个 满足 p 的 状态 。 

再 考虑 图 3-1 中 的 一 个 迁移 系统 GcD(m，n)， 它 是 计算 两 个 数 m 和 n 的 最 大 公约 数 的 
程序 。 注 意 只 要 变量 x 和 y 都 是 正 数 ， 系 统 在 模式 loop 更 新 这 些 变 量 。 假 设 我 们 想 要 检 
查 该 循环 总 会 终止 的 活性 需求 。 这 对 应 于 检查 属性 (mode 二 1opp) 的 重复 性 : 满足 重复 这 
个 条 件 的 无 限 循环 ， 对 应 于 无 终止 的 执行 。 


5.2.1 Biichi 自动 机 


现在 我 们 讨论 怎样 将 LTL 公式 编译 为 一 个 特殊 类 型 的 监控 器 ， 这 个 监视 器 也 称 为 
Biichi 自动 机 ， 以 便 可 以 将 模型 检验 问题 简化 为 系统 和 监视 器 组 合 的 重复 性 问题 。 

定义 

给 定 布尔 变量 的 集合 V， 定 义 在 V 上 的 Biichi 自动 机 是 一 个 同步 反应 式 构件 M， 它 的 
输入 变量 集合 为 V， 该 自动 机 称 为 扩展 的 状态 机 。 这 个 自动 机 的 唯一 状态 变量 是 它 的 模 
式 ， 所 以 它 只 有 有 限 多 个 状态 。 它 没有 输出 。 因 此 ， 一 个 模式 切换 或 者 一 条 边 ， 可 以 被 切 
换 的 源 和 目标 状态 以 及 守卫 条 件 完整 地 描述 ， 其 中 约束 条 件 是 定义 在 输入 变量 上 的 布尔 表 
达 式 。 给 定 输入 的 无 限 序 列 ， 也 就 是 说 ， 定 义 在 V 上 的 一 条 路 径 ， 自 动机 的 执行 产生 一 个 
状态 的 无 限 序列 。 状 态 的 子 集 下 声明 可 为 接受 的 。 如 果菜 些 可 接受 的 状态 在 这 个 执行 上 无 
限 多 次 地 重复 ， 则 对 应 于 输入 路 径 的 执行 是 可 接受 的 。 这 个 自动 机 是 不 确定 的 : 根据 给 定 
的 状态 和 给 定 的 输入 ， 多 个 传 出 切换 的 守卫 条 件 可 以 同时 为 真 。 因 此 ， 对 于 给 定 的 输入 路 
径 ， 多 个 执行 是 可 能 的 。 如 果 当 提供 输入 的 系列 o 时 存在 一 个 可 接受 的 无 限 执行 ,那么 自 
动机 M 接受 定义 在 V 上 的 p。Biichi 自动 机 的 形式 化 定义 如 下 : 


Bichi 自动 机 
Biichi 自动 机 M 包含 : 


V: 布尔 输入 变量 的 有 限 集合 。 

Q: 状态 的 有 限 集 合 。 

Init: 初始 状态 集合 ，InitE Q。 

F; 可 接受 的 状态 集合 ，FCQ。 

E: 边 的 有 限 集 合 ， 其 中 每 条 边 都 是 (gq，Guard，g ) 形 式 ，g€EQ 是 源 状态 , g EQ 
是 目标 状态 ，Guard 是 定义 在 输入 变量 V 上 的 布尔 表达 式 。 

对 于 两 个 状态 9 和 9g'， 以 及 输入 vE Qv， 如 果 存 在 一 条 边 (g，Guard，g')， 使 得 


输入 v 满 足 表 达 式 Guard， 那 么 gq 一 >q' 是 自动 机 的 迁移 。 给 定 定义 在 输入 变量 上 的 路 
径 p 二 vivs…， 在 输入 路 径 p 上 的 自动 机 的 执行 是 形 为 gq。 二 > 一 >… 的 有 限 序列 ， 使 


得 g 是 初始 状态 ， 并 且 对 于 每 个 的 i>, qaq 是 迁移 。 如 果 存 在 p 上 的 一 个 执行 ， 
使 得 对 于 无 限 多 个 索引 i, 一 g( 对 于 某 个 可 接受 的 状态 元 vEF)， 那么 Biichi 自动 机 
M 接受 输入 路 径 p。 
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如 果 从 给 定 输入 上 的 每 个 状态 只 能 选择 一 条 边 ， 则 Biichi 自动 机 M 是 确定 的 : 对 于 每 
个 状态 g 以 及 每 对 边 (g，Guard; ，g1) 和 (gqg，Guard; ，q )， 合 取 Guardi A Guard, 是 不 满足 
的 (确保 满足 守卫 条 件 Guard, WH A v 不 能 满足 守卫 条 件 Guard; ， 反 之 亦 然 ) 。 

例子 

图 5-5 展示 Bichi 自动 机 M 只 接受 满足 递归 公式 口 p 的 路 径 。 这 个 自动 机 有 一 个 
布尔 输入 变量 e， 它 是 有 两 个 状态 < 和 45 的 状态 机 。 状 态 a 是 初始 状态 ,状态 5 是 可 接 
受 的 状态 (用 双 圆 圈 表 示 )。 在 每 次 循环 中 ， 如 果 输 入 ee 是 1， 则 自动 机 迁移 到 状态 b; 
如 果 输 入 e 是 0， 则 自动 机 迁移 到 状态 a。 给 定 输 入 的 路 径 vivs…， 自 动机 M 有 一 个 
唯一 的 执行 ， 当 输入 序列 包含 无 限 多 个 1 时 ， 在 这 个 执行 上 状态 5 就 无 限 多 次 重复 。 
因此 ， 当 输入 路 径 包 含 无 限 多 个 1 时 ， 即 当 路 径 p 满 足 LTL 公式 口 Oe， 自 动机 M 接 
受 该 路 径 p- 

图 5-6 展示 了 另 一 个 Biichi 自动 机 。 这 个 自动 机 还 有 一 个 单一 的 布尔 输入 变量 e， 是 
一 个 有 两 个 状态 a 和 4。 的 状态 机 ， 状 态 < 是 初始 状态 ， 状 态 b 是 可 接受 的 状态 。 这 个 自动 
机 是 非 确定 性 的 。 在 初始 状态 ， 在 每 次 循环 中 ， 不 说 输入 值 是 0 还 是 1， 自 动机 要 么 保持 
在 状态 a， 要 么 迁移 到 状态 5。 一 旦 自动 机 迁移 到 状态 5， 如 果 输 入 是 0， 则 没有 迁移 是 使 
能 的 ， 自 动机 陷 和 僵持 。 因 为 上 是 唯一 的 可 接受 状态 ， 并 且 一 旦 进入 状态 5， 只 有 当 所 有 
的 后 继 输入 都 是 1 时 自动 机 能 够 产生 无 限 的 执行 ， 当 从 输入 路 径 只 包含 1 的 某 个 位 置 开 始 
时 ， 则 自动 机 在 状态 5 上 无 限 执行 。 这 就 是 说 ， 自 动机 接受 满足 LTL 公式 De 的 那些 路 
径 。 没 有 与 LTL 公式 De 相对 应 的 非 确定 性 Biichi 自动 机 ， 因 此 非 确 定性 对 于 构造 与 
LTL 公式 相对 应 的 Biichi 自动 机 是 非常 重要 的 。 


“Te e 


Gis we ha 
g= À 
图 5-5 口 0g 的 Biichi 自动 机 5-6 OLle 的 Biichi 自动 机 
对 活性 需求 违反 的 监控 


为 了 说 明 Biichi 自动 机 是 怎样 用 于 监视 器 来 检测 活性 需求 的 违反 情况 ， 我 们 重新 再 看 
一 看 火车 控制 器 例子 和 活性 需求 ， 该 需求 断言 如 果 西 边 的 火车 正在 等 待 ， 则 最 终 西边 的 信 
号 灯 将 变 为 绿色 : 

口 LCmodew = wait) —> O(signaly = green) ] 

对 于 形 如 gp: 口 (e-~@OJ 的 活性 需求 来 说 ， 这 是 一 个 常见 的 模式 ， 其 中 e 和/ 都 是 定 
义 在 系统 的 观测 变量 上 的 表达 式 。 为 了 检查 系统 的 每 条 路 径 是 否 满足 p， 我 们 首先 对 规约 
取 反 ， 然 后 检查 是 否 存在 满足 这 个 否定 规约 的 系统 执行 。 和 否定 的 规约 是 -~ 口 [e->@ 门 ,这 
HOLLAD 一 门 是 等 价 的 。 因 此 ， 需 求 违反 
是 无 限 执行 (在 该 无 限 执行 上 属性 。 在 某 个 位 “Re adsystem TERREN 
置 上 成 立 )， 那 么 属性 前面 的 不 成 立 。 考 虑 dw 
图 5-7 中 的 的 非 确定 性 的 Büchi 自动 机 M， 这 ine ree 
个 自动 机 只 接受 满足 取 反 公式 的 那些 路 径 。 
只 有 当 这 个 自动 机 遇 到 满足 属性 e 的 输入 时 ， 
它 才 能 够 切换 到 可 接受 的 状态 5， 而 一 旦 进入 
状态 2， 当 每 一 步 的 输入 都 不 满足 属性 f 时 ， 图 5-7 使 用 Biichi 自动 机 监控 活性 违反 
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它 可 以 一 直 执 行 。 在 组 合 系统 RailRoadSystem|M F, 4 HA 4451F RailRoadSys- 
tem 能 够 产生 满足 一 p 的 路 径 时 ， 存 在 一 条 在 其 上 的 自动 机 状态 重复 为 5 的 无 限 执行 。 因 
此 验证 系统 的 每 条 路 径 是 否 满足 LTL 公式 o 的 模型 检查 问题 ， 简 化 为 检查 组 合 系统 的 属 
性 重复 性 问题 (M. mode=b)., WAHE, RaiRoadSystem2( WA 3-8) 不 满足 规约 : TER 
统 RailRoadSystem2|M 中 ， 由 于 状态 具有 modew=wait, modes =bridge, nearw = 
near; =l, signaly=red, signals =green 和 M. mode=b 是 可 达 的 且 自 循环 的 ， 所 以 属 
性 (M. mode= 6d) EER M. 


作为 监控 活性 需求 违反 的 另 一 个 例子 ， 考 虑 这 个 EASA 
LTL 规约 : 9: Oef, HH eM f Mee EMC) ELE 
件 C 的 观测 变量 上 的 表达 式 。 它 断言 条 件 递 归 的 要 求 : 一 (a) Omera E, 
如 果 属 性 。 是 递归 的 ,那么 f 也 是 递归 的 。 为 了 检查 构 ERANS 
件 C 的 每 条 路 径 是 否 满足 p， 我 们 首先 对 规约 取 反 ， 然 图 5-8 检查 p: 口 0e~> 口 OF 违反 的 
后 检查 是 否 存在 满足 该 否定 规约 的 构件 C 的 某 条 执行 。 Biichi 自动 机 


否定 的 规约 等 价 于 口 Oe 人 9D 一 f， 它 说 明 属 性 。 是 递归 的 ， 而 属性 一 f 是 持续 的 。 因 
此 ， 我 们 想 要 找到 这 样 一 条 无 限 执行 : 在 某 个 位 置 后 ， 一 f 一 直 成 立 ， 并且 。 重复 成 
立 。 这 个 可 以 用 图 5-8 所 示 的 有 3 个 状态 的 Biichi 自动 机 M 来 描述 。 初 始 状 态 是 a， 自 
动机 在 初始 状态 循环 任意 步 ， 然 后 非 确定 性 地 切换 到 状态 5。 随后 ， 每 当 和 条件。 满足 ， 
它 就 迁移 到 状态 c 并 在 下 一 步 迁 移 回 状态 5。 在 状态 5 和 c， 只 有 当 条 件 OS 成 立时 执行 
才能 继续 。 只 有 当 属 性 6。 是 递归 的 且 属 性 一 f 是 持续 的 时 ， 无限 执 行 才能 重复 地 访问 状 
态 c。 因 此 ， 模 型 检查 问题 可 以 重新 形式 化 检查 组 合 系统 CIM 的 属性 (mode 二 c) 的 重复 
性 问题 。 

广义 Biichi 自动 机 

考虑 LTL 公式 口 Qe 八 口 9 me， 它 说 明 变量 e 应 该 无 限 多 次 为 1， 同时 也 应 该 无 限 多 
次 为 0。 描 述 这 个 需求 的 方便 方法 是 利用 像 图 5-5 那样 的 自动 机 结构 ， 并 且 使 用 两 个 可 接 
受 的 集合 : 五 二 {4a} 和 FF 二 {05}。 如 果 这 两 个 集合 都 重复 无 限 多 次 ， 那 么 这 个 自动 机 在 输 
和 人 路径 上 的 执行 是 可 接受 的 。 这 个 Biichi 自动 机 的 扩展 使 用 可 接受 的 需求 的 合 取 ， 称 为 广 
L Biichi 自动 机 。 

形式 化 地 ， 一 个 广义 Biichi 自动 机 有 输入 变量 集合 V、 状 态 集 合 Q、 初 始 状态 集合 
Init， 形 如 (mx，Guard，m') 的 边 ， 以 及 可 接受 状态 集合 F, Fro e, Feo WRU FET j 
和 无 限 多 个 索引 i， 状 态 9; 属 于 可 接受 的 状态 集合 下 ;， 那 么 自动 机 在 输入 路 径 viv,… 上 的 


执行 go 一 >gqt 一 >… 是 可 接受 的 。 换 句 话 说 ， 对 应 于 执行 的 状态 上 路 径 ww … 应 该 满足 公 
A A j-1,-2LlOCmode€E F), 

事实 证 明 广义 Biichi 自动 机 并 不 比 Büchi 自动 机 的 表达 能 力 强 。 将 关于 输入 路 径 的 需 
求 表示 为 具有 多 个 可 接受 集合 的 广义 Büchi 自动 机 ， 可 以 采用 只 有 少数 状态 的 自动 机 的 设 
计 ， 但 是 无 需 改 变 它 可 接受 的 输入 路 径 的 集合 ， 就 可 以 将 它 编译 为 Bichi 自动 机 (只 有 一 
个 可 接受 的 集合 ) 。 

命题 5.1 (从 广义 Biichi 自动 机 到 Biichi 自动 机 ) 给 定 一 个 定义 在 输入 变量 人 上 的 
广义 Biichi 自动 机 M， 存 在 一 个 定义 在 输入 变量 V 上 的 Biichi 自动 机 M' ， 使 得 对 任何 V 
上 的 每 条 路 径 p， 当 自动 机 M' 接 受 路 径 p 时 ， 自 动机 M 也 接受 p。 

证 明 令 M 表示 广义 Biichi 自动 机 ， 它 的 输入 是 V， 状 态 是 Q， 初 始 状态 是 Init， 边 
是 已 ， 可 接受 的 集合 是 F ，…F; 。 我 们 想 要 构建 一 个 Biichi 自动 机 M'， 使 得 M' 重 复 访问 
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它 的 一 个 可 接受 的 状态 确保 原始 自动 机 M 重复 访问 集合 ;的 可 接受 的 状态 。 为 此 ， 自 动 
机 M' 维 持 M 的 状态 ， 以 及 一 个 通过 值 1，2，…，k，0 来 记录 循环 的 计数 器 。 计 数 器 的 初 
始 值 是 1。 当 M 的 状态 在 集合 Fi 中 时 ， 计 数 器 增加 到 2。 当 遇 到 可 接受 的 集合 F; 中 的 一 
个 状态 时 ， 计 数 器 增加 到 3。 更 一 般 地 ， 当 计数 器 是 7 时， 自动 机 等 待 访问 可 接受 的 集合 
Fj; 中 的 一 个 状态 。 当 遇 到 这 样 的 状态 时 ， 计 数 器 增加 到 j 二 1。 当 计数 器 7 等 于 & 时 ， 当 过 
到 可 接受 集合 FF 中 的 一 个 状态 时 ， 计 数 器 更 新 为 0， 并 且 在 下 一 个 迁移 它 又 变 为 1。 如 果 
沿 着 这 个 执行 ， 计 数 器 重复 为 0， 那 么 它 重复 循环 所 有 的 这 些 值 ， 执 行 也 重复 地 访问 可 接 
受 的 集合 Ff; 中 的 每 个 状态 。 相 反 ， 如 果 一 个 可 接受 的 集合 F 沿 着 这 个 执行 重复 无 限 多 次 ， 
则 计数 器 不 能 在 7 值 上 卡 住 ， 因 此 ， 如 果 所 有 的 可 接受 的 集合 都 重复 无 限 多 次 ， 则 计数 器 
重复 循环 置 0。 

从 形式 上 ，M' 的 状态 集合 是 集合 QX {0，1，…，}。M' 的 初始 状态 是 二 gq, 1>, qE 
Inite Xt M 每 条 边 (qg，Guard,，g )， 自 动机 M AHC, 0>, Guard, <q’, 1>); 对 每 个 
l<c<k, WMR qgEF., WABHLM'Ait(<q, c>, Guard, <q’, c+1>) FMA (<g, 
c>, Guard, <q’, c>); MRqEF,, MAHIMA, k>Guard, <q’, 0>)F 
WAC, kk 二 Guard，<q ，k>)。M' 的 可 接受 的 集合 是 形 如 二 q，0 二 的 状态 集合 。 

为 了 完成 这 个 证 明 ， 我 们 需要 说 明 当 输入 路 径 p 被 Biichi 自动 机 M 接受 时 ，e 也 被 广 
义 Biichi 自动 机 M 接受 ， 但 根据 定义 它 遵循 直接 的 方式 。 ai 
练习 5.9: 对 下 面 每 一 个 LTL 公式 ， 分 别 构 建 一 个 Bich 自动 机 ， 该 自动 机 准确 地 接受 满足 这 个 公式 的 

路 径 : 
1) Oge VOF 
2) WbeA DOF 
3) Clee f) 
练习 5. 10: 写 一 个 LTL 公式 ， 该 公式 准确 地 描述 图 5-9 所 示 的 Biichi e 
自动 机 接受 的 路 径 集合 。 解 释 你 的 答案 。 ae 
练习 5. 11: 给 定 两 个 有 相同 输入 变量 集合 V 的 Bichi 自动 机 M: AIM, , EL 人) 
说 明 如 何 构 建 输入 V 上 的 Biichi 自动 机 M， 使 得 当 自动 机 P 
M 和 Ms 接受 V 上 的 输入 路 径 p 时 ， 该 自动 机 M 也 接受 po。 图 5-9 练习 : 从 Biichi 
练习 5. 12: 给 定 一 个 有 状态 Q 和 可 接受 的 状态 下 的 Biichi 自动 机 M, 自动 机 到 LTL 
考虑 通过 切换 M 中 的 可 接受 的 状态 的 作用 获得 Biichi 自动 机 M: M 的 状态 、M 的 初始 状态 
和 M 的 边 与 原始 自动 机 M 的 一 样 ， 但 是 M' 的 可 接受 的 状态 是 Q\ F( 也 就 是 说 ， 当 一 个 状态 
EM 中 是 不 可 接受 的 时 ， 在 M' 中 是 可 接受 的 ) 。 考 虑 这 个 声明 : 当 一 条 输入 路 径 5 不 被 自动 
BLM 接受 ， 则 自动 机 M “接受 pc。 请 问 声明 “ 当 输 入 路 径 o 不 被 自动 机 M 接受 时 ， 它 被 自动 
机 M' 接 受 。” 是 否 成 立 ? 如 果 你 的 答案 是 “成 立 ”， 用 证 据 证 明 。 如 果 你 的 答案 是 “不 成 立 ”， 
给 出 反例 。 在 后 一 种 情况 下 ， 如 果 自 动机 M 是 确定 性 的 ， 则 这 个 声明 成 立 吗 ? 


5.2.2 从 LTL 到 Biichi 自动 机” 


构造 用 于 检测 LTL 规约 违反 的 Biichi 自动 机 是 可 以 自动 完成 的 。LTL 规约 g 可 以 编 
译 成 一 个 (广义 )Biichi 自动 机 M,， 这 个 自动 机 只 接受 满足 公式 p 的 那些 路 径 。 期 望 的 自动 
机 的 状态 是 p 的 子 公式 的 集合 。 这 样 的 自动 机 称 为 Tableau。 我 们 首先 用 一 个 例子 来 阐述 
它 的 构造 。 

样本 Tableau 构造 

为 了 阐述 Tableau 构造 的 主要 原理 ， 我 们 考虑 LTL 公式 p= 口 (eV f) AOe。Tableau 
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的 状态 是 来 源 于 LTL 公式 p 的 集合 。 每 个 状态 g 是 一 个 公式 的 集合 ， 我 们 想 要 确保 在 状 
态 g 中 的 每 一 个 公式 都 被 沿 着 从 状态 q 中 开始 的 有 限 可 接受 的 执行 的 输入 路 径 所 接受 。 


SZA 
wie ra OI 


g,OleVf),oe |S 9,0 (eVf) Oe 9,0 (eVf), oe 
(eVf),OOVf) enf (eVf),OD(eV7) (eVf),OD (evf) 
ef, Ope eCOOe LOVE 
















eAf -eAf 


9,0 (eVf), Qe 9,0 (eVf), Qe 
(evf), OD (eVf) (eVf), OU (eVf) 
ef e 
enf 
OleVf) 
(eVf),OU (eVf) 
£ 


图 5-10 gp= 口 (eV f) Ade 的 Tableau 构造 


BOK Tableau 的 初始 状态 包含 给 定 的 公式 pg。 根 据 合 取 的 语义 ， 当 口 (eV 亡 和 4@e 同时 
WEH, Ak g 才 满足 ， 所 以 初始 状态 必须 包含 这 些 公式 。 根 据 always 操作 符 的 语义 ， 
如 果 (eV AMA next 公式 O 〇 口 (eV 有 都 满足 ， 那 么 口 (eV 了 ) 才 满足 。 因 此 ， 我 们 给 要 求 的 
初始 状态 增加 这 两 个 。 为 了 满足 析 取 (eV f)， 状 态 必须 包含 e, MS, Me Alf. next 公式 
OD CV 用 ) 的 包含 对 没有 当前 状态 中 产生 任何 额外 的 需求 ， 只 是 在 状态 之 间 增 加 迁移 的 规 
则 确保 它 的 满足 性 。 根 据 eventuality 操作 符 的 语义 ， 如 果 至 少 有 一 个 e 和 next 公式 OOe 
被 满足 ， 则 Oe 被 满足 。 综 合 这 些 满 足 (eV f) 的 不 同方 式 的 情形 (如 图 5-10 所 示 )， 得 到 了 
5 个 初始 状态 : qs ar ga g 和 qs。 例如 ， 状 态 go 对 应 于 这 个 公式 集合 {9p,， 口 (eV 亡 ， 
Qe, CEVA), OLIV f), e，O 〇 Qe}: 对 于 一 个 从 状态 go 开始 的 执行 ， 我 们 希望 在 这 个 集 
合 中 的 每 个 公式 都 满足 ， 而 不 在 集合 中 的 公式 (如 有 不 被 满足 。 

无 论 何 时 当 一 个 状态 包含 原子 表达 式 ，( 比 如 e) 时 ， 这 意味 着 要 处 理 的 输入 必须 满足 
这 个 表达 式 ， 因 此 e 应 该 作为 这 个 状态 的 传 出 边 的 守卫 条 件 的 合 取出 现 。 类 似 地 ， 当 一 个 
状态 没有 包含 原子 表达 式 e 时 ， 要 处 理 的 输入 必须 不 满足 e， 因 此 me 应 该 作为 这 个 状态 的 
传 出 边 的 守卫 条 件 的 合 取出 现 。 这 就 解释 了 自动 机 的 所 有 边 上 的 守卫 和 条件。 特别 地 ， 状 态 
qo 传 出 边 都 有 一 个 守卫 条 件 (e 人 \ Af). 

为 了 获得 一 个 状态 的 后 继 ， 我 们 检查 该 状态 中 的 next 公式 。 对 于 每 个 形 @ 〇 y 的 公式 ， 
当 且 仅 当 后 继 状态 包含 Jy 时，Oy 应 该 属于 当前 状态 。 因 为 状态 同时 包含 〇 DCey AA 
OQ9e， 所 以 要 求 它 的 后 继 既 包含 口 (eV 有 ) 又 包含 9e。 这 样 的 % 后 继 状态 必须 满足 这 两 个 
公式 的 合 取 ， 也 就 是 原始 公式 pg。 这 就 意味 着 状态 go 的 后 继 ， 以 及 qr 和 gs 的 后 继 都 是 一 样 
的 逻辑 ， 都 是 包含 p 的 初始 状态 。 现 在 我 们 考虑 状态 gq; ， 这 个 状态 包含 了 O 口 (eV f), 但 
不 包含 OVe， 因 此 ， 它 的 后 继 状态 应 该 包含 口 (eV f)， 但 不 包含 Qe( 因 此 不 包含 pg)。 为 了 
满足 always 公式 口 (eV f)， 状 态 必须 满足 (eV 有 和 O 〇 口 (eV f)。 因 为 它 不 包含 Qe， 所 以 








-eAf 


128 F 5# 





它 不 能 包含 e， 因此 满足 (eV 了 ) 的 唯一 方法 是 包含 f/。 因 此 ,状态 gs 二 { 口 (eV f),， (eV 
AP, OUV PN. PÆ g; 状 态 的 唯一 后 继 ， 并 且 状 态 g, 和 gq; 是 一 样 的 逻辑 。 


我 们 想 要 确保 如 果 p 一 >p 一 >… 是 对 应 于 从 某 个 状态 mm 开始 的 输入 路 径 是 p= v we 
的 通过 Tableau 的 有 限 执行 ， 那 么 公式 y 在 p。 中 当 且 仅 当 输入 路 径 po 满足 公式 y。 这 并 不 
完全 正确 。 例 如 ， 一 个 执行 能 够 在 状态 9; 永 远 循环 ,假设 每 个 输入 都 满足 F: 每 个 状态 包 
含 %e， 但 是 没有 输入 满足 原子 表达 式 e。 直 观 地 ， 在 这 个 无 限 执行 上 ， 满 足 @e 的 选择 永远 
被 推迟 。 通 过 增加 一 个 要 求 满足 Ce 的 Biichi 可 接受 的 条 件 就 可 以 避免 这 种 情况 ， 它 最 终 满 
Ee, 这 可 以 用 Biichi 可 接受 条 件 的 集合 HyS {qo » di» Q39 Q4 } 来 表示 > 该 集合 包含 的 状态 
要 么 包含 e， 要 么 不 包含 9e。 对 于 always 公式 口 (eV f)， 如 果 状 态 不 包含 这 个 公式 ， 那 么 
我 们 希望 确保 这 个 公式 确实 是 不 满足 的 。 注 意 always 公式 的 否定 就 是 eventually 公式 ， 所 
以 Biichi 可 接受 的 条 件 集合 Ff 包含 所 有 不 包含 (eV 有 或 者 包含 口 (eV 了 ) 的 状态 ， 在 我 们 的 
例子 中 ， 它 是 所 有 状态 的 集合 。 因 此 ， 根 据 两 个 可 接受 的 状态 集合 ， 如 果 它 不 总 是 终止 于 
状态 qo 上 循环 ， 那 么 无 限 执行 是 可 接受 的 。 检 查 这 个 Biichi 自动 机 ， 图 5-10 的 Tableau 所 
给 出 了 状态 和 迁移 ， 当 它 满足 公式 g 时， 这 个 自动 机 接受 {e，f} 上 的 输入 路 径 。 

总 之 ， 在 Tableau 构造 中 ， 状 态 是 公式 的 子 集 。 每 个 公式 要 求 关 于 其 他 公式 的 需求 ， 
这 些 其 他 的 公式 必须 被 沿 着 从 当前 状态 开始 的 路 径 的 输入 序列 满足 。 定 义 边 以 便 确保 从 一 
个 状态 到 它 的 后 继 的 next 公式 的 传播 。 广义 Biichi 自动 机 可 接受 的 需求 确保 最 终 满足 e- 
ventually 公式 。 

Tableau 构造 

我 们 继续 形式 化 Tableau 构造 。 对 于 形式 化 构造 ， 我 们 假设 LTL 公式 是 由 使 用 否定 、 
合 取 和 析 取 逻辑 连接 词 ， 以 及 时 序 操作 符 Cnext、always 和 eventually) 等 原子 表达 式 构造 
的 。 处 理 until 操作 符 这 样 的 扩展 构造 留 作 练习 。 

给 定 一 个 LTL 公式 ,P，V, 是 出 现在 g 中 的 原子 表达 式 的 集合 。 为 了 评估 公式 pg， 在 
每 一 步 我 们 需要 知道 V, 的 每 个 表达 式 是 否 满足 。 因 此 ， 我 们 可 以 把 每 个 原子 表达 式 都 当 
作 布 尔 变量 ,然后 在 布尔 变量 的 集合 V,。 上 解释 关于 路 径 上 的 公式 pg。 这 些 变量 是 Biichi A 
动机 M, 的 输入 变量 的 集合 。 

我 们 首先 定义 与 评估 给 定 公式 有 关 的 公式 的 集合 。LTL 公式 o 的 闭 包 Sub(o) 定 义 为 : 

1) WÈ yy 是 出 现在 g 中 的 句法 ， 则 水 属 于 Sub(Cp) 。 

2) 如 果 yy 形 如 是 Qy 或 口 y 的 子 表达 式 ， 那么 Oy 也 是 属于 Sub(p) 。 

为 了 说 明 图 5-10 中 的 Tableau 构造 ， 对 于 po= 口 (eV P 和 Oe， 

Sub(g) = {e, f, le V f) Qe, Oe, Die V f),OD (eV f),9} 

当 作为 样本 构造 说 明 时 ， 公 式 g 的 满足 性 取决 于 Sub(y) 中 的 公式 的 满足 性 。 检 查 如 
RAR pg 的 长 度 是 &k， 那 么 在 它 的 闭 包 中 的 公式 数 最 大 为 2k。 

现在 ，Tableau 的 状态 是 闭 包 的 公式 的 子 集 ， 使 得 用 这 些 公式 表示 的 约束 集合 是 局 部 
一 致 的 。g 的 闭 包 的 子 集 g 忆 Sub(y) 是 一 致 的 ， 如 果 满 足下 面 的 条 件 : 

© 当 y 不 属于 g 时 ， 一 yy 属于 g。 

© X p 和 yy 都 属于 g 时 ， pı A gz RTF 4q 

e x pı 或 者 pz 或 者 两 个 都 属于 q 时 ， i V ys 属于 qo 

© 当 y 或 者 OO9y 或 者 两 个 都 属于 g 时 , 0y 属于 9。 

e “gy MOOY HEFa 时， 口 y 属于 g。 

在 图 5-10 的 例子 中 ， 注 意 所 有 6 个 状态 都 是 一 致 的 。 但 并 不 是 所 有 的 状态 都 是 一 致 
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的 ， 图 5-10 只 是 展示 了 那些 从 初始 状态 开始 是 可 达 的 状态 。 例 如 ， 状 态 g= if eV) 
是 一 致 的 状态 但 它 不 可 达 的 状态 。 
给 定 Sub(Cp) 的 一 个 一 致 的 子 集 g， 使 用 Guard, 来 标记 ，Guard, 表 示 将 9 包含 的 每 个 原 
子 表 达 式 e 和 不 属于 g 的 每 个 原子 表达 式 e 的 取 反 连接 起 来 。 例 如 ， 如 果 包含 原子 表达 
Re 但 是 不 包含 原子 表达 式 上 ， 则 Guard, 是 表达 式 e 人 一 /， 它 描述 在 状态 g 的 下 一 输入 的 
约束 。 
现在 我 们 可 以 定义 广义 Büchi 自动 机 M,， 也 就 是 对 应 于 公式 g 的 Tableau; 
e 输入 变量 的 集合 是 V。，V。 是 出 现在 p 中 的 原子 表达 式 。 
© 状态 的 集合 是 闭 包 Sub(y) 的 汪 致 子 集 的 集合 。 
e 当 状 态 包含 公式 pg 时 ,一 个 状态 SSub(p) 是 初始 状态 。 
© 对 于 一 对 状态 g 和 g'， 如 果 当 yy 属于 g' 时 ，Sub(y) 中 的 每 一 个 next 公式 Oy 属于 
g， 则 存在 一 条 边 (g，Guard;，g )。 

o 对 于 闭 包 Sub(p) 中 的 每 个 eventually 公式 Jy 二 Ay ， 存 在 一 个 包含 状态 q 的 可 接受 
的 集合 F, Ey Eg 或 yFq; 对 于 闭 包 Sub(y) 中 的 每 个 always 公式 /一 口 光 ， 存 
在 一 个 包含 状态 g 的 可 接受 的 集合 下 , 使 得 Jy Fg 或 JEq。 

构造 的 正确 性 是 由 下 面 证 明 。 

命题 5.2 (LTL Tableau 构造 的 正确 性 ) 对 于 定义 在 原子 表达 式 V 上 的 每 个 LTL 
公式 p， 当 广义 Biichi HAMM, 接受 V 上 的 路 径 p 时 ，p 满足 gp。 

证 明 : 令 g 是 LTL 公 式 ， p 二 viw… 是 定义 在 g 中 出 现 的 表达 式 集合 V。 上 的 一 条 路 径 。 
假设 pF p。 对 这 0， 令 4SSub(O) 表 示 在 路 径 p 中 的 位 置 i 十 1 上 的 公式 集合 {y&€ Sub(Cp) | 
(p，i 十 1) 上 yy}。 根 据 这 个 定义 ， 它 遵循 ,1) 对 于 所 有 i， 集合 q; 是 一 致 的 ; 2) 对 于 所 有 i 
和 公式 OyE Subli), 4 PEquilt, Og€as DRA wit M, 的 初始 状态 ; 4) 对 于 所 有 i, 
输入 vr 满足 守卫 条 件 Guard, ; 5) 对 于 每 个 OVE Sub(p)， 如 果 对 于 无 限 多 个 位 置 i， 
(pr PEO, WHFERE MELB, Co. PEGs 6) 对 于 每 个 口 VE Sub(p) ， 如 果 对 于 无 


限 多 个 位 置 i，(p, DEOp WU FIERA MLE j, (or 站 上 y。 它 遵循 o 一 >q 一 >… 是 
TableauM, 中 的 一 个 可 接受 的 执行 ， 自 动机 M, 接受 路 径 p。 


现在 考虑 自动 机 M, 在 输入 路 径 p 二 vivs… 上 的 一 条 可 接受 的 执行 wm -一 = 一 ~-…。 
我 们 想 要 建立 对 于 所 有 的 VE Sub(g)， 对 于 所 有 ISO, Eq SAMY (Co, i+1)F ypo Ñ 
过 对 y 的 结构 进行 归纳 来 证 明 它 ， 将 证 明 留 作 练 习 。 由 此 得 出 pF o m 

注意 自动 机 M, 的 状态 数 与 公式 的 大 小 呈 指 数 级 。 这 个 打击 是 不 可 避免 的 。 使 用 命题 
5. 1 中 描述 的 构建 方法 ， 可 以 将 广义 Biichi 自动 机 M, 转换 为 Biichi 自动 机 。 

模型 检查 

为 了 检查 构件 C 是 否 满 足 LTL 公式 g， 我 们 首先 对 公式 g 取 反 。 我 们 构建 了 对 应 于 
公式 mp 的 Biichi 自动 机 M， 使 得 重复 遇 到 的 M 的 Biichi 状态 中 的 组 合 系统 C 的 无 限 执行 
对 应 于 满足 否定 规约 一 p 的 构件 C 的 无 限 执行 ， 因 此 它 是 模型 检查 问题 的 反例 。 在 应 用 
Tableau 前 对 公式 取 反 的 方法 可 以 避免 计算 完整 Tableau 的 任务 ， 是 模型 检查 在 实际 应 用 
中 的 关键 。 下 面 我 们 总 结 结果 。 

定理 5. 1( 从 LTL 模型 检查 到 重复 性 ) ”给 定 一 个 定义 在 原子 表达 式 V 上 的 LTL 公式 
ps V 涉及 系统 C 的 可 观测 变量 ， 存在 一 个 构建 非 确定 性 Biichi 自动 机 M 的 算法 ，IM 有 和 输 
入 变量 V 和 可 接受 的 状态 的 子 集 玉 ,使 得 当 对 于 组 合 系统 CIM， 属性 “IM 的 状态 属于 下” 
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是 可 重复 的 时 ， 系 统 C 满足 规约 gp。 

练习 5. 13: 考虑 LTL 公式 g 二 口 QeV 口 /。 首 先 计算 闭 包 Sub(Cp) 。 然 后 应 用 Tableau 构造 建立 一 个 广义 
Biichi 自动 机 M,。 它 足够 说 明 可 达 的 状态 。 

练习 5. 14: Tableau 构造 的 形式 化 描述 只 考虑 使 用 next, eventually 和 always 的 时 序 操作 符 的 公式 。 当 人 多 
许 使 用 until 操作 符 时 ， 描 述 如 何 对 构建 方法 进行 必要 的 修改 。 

练习 5. 15: 考虑 LTL 公式 g 二 (eUOf)V 一 e。 首 先 计算 闭 包 Sub(q)。 然 后 应 用 Tableau 构造 建立 一 个 广 
X Biichi 自动 机 M, 。 它 足够 说 明 可 达 的 状态 。 

练习 5. 16: 在 5.1.4 节 ， 我 们 提 到 下 面 的 属性 不 能 用 LTL 描述 :“ 在 每 个 偶数 位 置 表 达 式 e 是 1”。 夯 出 
一 个 有 输入 变量 e 的 Biichi 自动 机 M， 当 M 满足 这 个 属性 时 ，M 接受 一 条 路 径 。 

练习 5. 17* : 完成 命题 5. 2 的 证 明 : 对 于 在 输入 路 径 o=wzwm… 上 的 自动 机 M, 的 一 条 可 接受 的 执行 


vı 


go —>q 一 >…， 请 证 明 当 且 仅 当 (p， i 十 1) F vit, 对 于 所 有 的 yE Sub(q)， 对 于 所 有 的 
这 0，yWEd 。 通 过 对 公式 少 的 结构 进行 归纳 来 证 明 。 


5.2.3 收 套 深度 优先 搜索 * 


给 定 一 个 迁移 系统 T 和 一 个 属性 p， 为 了 检查 p 是 否 是 可 重复 的 ， 我们 搜索 违反 p 的 
状态 ， 从 初始 状态 开始 该 状态 是 可 达 的 ， 并 且 包 含 在 一 个 环 路 中 。 这 里 的 核心 计算 问题 是 
检测 环 路 。 在 3. 3 节 中 已 经 讨论 过 ， 我们 假设 迁移 系统 是 可 数 的 分 支 并 使 用 函数 FirstInit- 
State, NextInitState, FirstSuccState 和 NextSuccState 描述 ， 这 些 函 数 用 于 枚 举 初 始 状 态 
和 给 定 状态 的 后 继 状态 。 我 们 希望 我 们 的 算法 是 on-the-fly 模型 检验 算法 的 : 它 应 该 只 在 
需要 时 搜索 状态 和 这 些 状态 的 迁移 ， 并 且 一 旦 当 它 找到 一 个 反例 它 就 应 该 终止 并 返回 反 
例 。 因 此 ， 理 想 的 算法 不 应 该 首先 检查 所 有 的 可 达 集 合 然 后 再 寻找 环 路 。 结 果 ， 检 测 图 中 环 
路 的 经 典 算法 依赖 于 计算 图 中 的 强 连接 构件 ， 但 该 算法 并 不 适合 我 们 的 应 用 (在 有 向 图 中 的 
强 连 接 构件 是 顶点 的 最 大 子 集 ， 这 样 在 子 集中 的 每 对 顶点 之 间 都 存在 一 个 路 径 )。 相 反 ， 我 
们 将 提出 一 个 环 路 检测 算法 ， 这 个 算法 使 用 两 个 深度 优先 算法 遍历 ,一 个 嵌 套 在 另 一 个 中 。 

算法 利用 与 图 3-6 中 的 深度 优先 搜索 算法 (使 用 栈 Pending 和 集合 Reach 来 存储 已 访问 
的 状态 ) 相 类 似 的 方法 搜索 迁移 系统 的 正 达 状态 。 关 键 的 不 同 点 是 : 在 检查 属性 的 可 达 性 
时 ， 当 遇 到 一 个 满足 属性 的 状态 时 ， 搜 索 就 终止 ;在 检查 一 属性 的 重复 性 时 ， 当 遇 到 一 个 
满足 属性 的 状态 时 ， 算 法 启动 另 一 个 搜索 去 发 现 一 个 包含 状态 s 的 环 路 。 为 了 实现 这 种 
搜索 ， 假 定 每 次 遇 到 满足 属性 p 的 状态 时 ， 启 动 一 个 全 新 的 搜索 ， 这 个 搜索 检查 状态 s 从 
其 本 身 是 否 是 可 达 的 ， 并且 搜 索 使 用 它 自己 已 访问 的 状态 集合 。 虽 然 这 样 的 策略 会 导致 一 
个 正确 的 算法 ,但 它 的 时 间 复 杂 度 是 状态 数量 的 二 次 方 ， 并 且 这 可 以 被 极 大 改进 。 原 始 算 
法 如 图 5-11 所 示 。 

该 算法 包含 两 个 嵌 套 搜索 : 函数 DFS 执行 的 初步 搜索 和 函数 NDFS HFT HK CK 
套 ) 的 搜索 。 在 初步 搜索 中 遇 到 的 状态 存储 在 集合 Reach 中 ， 而 在 二 次 搜索 中 访问 的 状态 
存储 在 集合 NReach 中 。 在 标准 的 深度 优先 搜索 中 ， 对 于 T 的 每 个 可 达 状 态 *， 用 状态 s 
作为 输入 最 多 调用 函数 DFS 一 次 。 一 旦 从 状态 s 开始 的 初步 搜索 终止 ， 如 果 状 态 s 满足 期 
望 的 重复 属性 p， 那 么 它 是 一 个 环 路 反例 的 潜在 候选 。 然 后 通过 调用 函数 NDFS 启动 二 次 
搜索 ， 函 数 NDFS 使 用 状态 s 作为 它 的 输入 。 二 次 搜索 的 目标 是 发 现 开 始 于 状态 s 的 环 路 。 
当 调 用 函数 NDFS(s) AY, $ Pending 包含 一 个 从 初始 状态 到 状态 s 的 执行 。 二 次 搜索 并 不 
修改 栈 Pending。 因 此 ， 如 果 二 次 搜索 遇 到 一 个 通 向 属于 这 个 栈 的 状态 的 迁移 ， 则 它 认为 
存在 一 个 包含 状态 s 的 环 路 。 这 样 就 建立 了 每 当 算法 返回 1 时 ,迁移 系统 包含 一 个 可 达 的 
环 路 ， 该 环 路 包含 一 个 满足 属性 p 的 状态 。 
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二 次 搜索 使 用 一 个 独立 的 集合 NReach 来 记录 在 二 次 搜索 中 遇 到 的 状态 。 但 是 ， 这 个 


集合 对 于 所 有 调用 函数 NDFS 都 是 共享 
的 : 每 次 用 状态 s 作为 它 的 输入 调用 
NDFS 时 ， 将 状态 s 添加 到 这 个 集合 中 ， 
只 有 当 状 态 t 不 在 集合 NReach 中 时 ， 
才能 用 状态 t 作为 它 的 输入 调用 NDFS。 
因此 ， 二 次 搜索 最 多 搜索 可 达 状 态 一 
K, 二 次 搜索 的 总 运行 时 间 与 初步 搜索 
是 一 样 的 。 为 了 理解 两 次 搜索 之 间 的 相 
互 影 响 以 及 关于 搜索 策略 正确 性 的 争 
论 ， 考 虑 在 初步 搜索 中 遇 到 的 两 个 状态 
s 和 +， 假设 这 两 个 状态 都 满足 属性 po。 
假设 首先 从 状态 s 调用 二 次 搜索 ， 从 状 
AS s 开始 搜索 所 有 的 可 达 状 态 ， 把 这 些 
状态 加 入 集合 NReach H, PERAR 
现 环 路 。 随 后 ， 当 从 状态 t+ 调用 二 次 搜 
索 时 ， 它 正好 跳 过 这 些 已 经 在 集合 
NReach 中 的 状态 。 那 么 什么 保证 没有 
使 这 个 算法 漏 掉 检测 包含 状态 t 的 环 路 ? 

为 了 回答 这 个 问题 ， 让 我 们 根据 初 
步 搜 索 终 止 时 间 对 状态 进行 排序 : 对 每 
个 可 达 状 态 s， 关 联 一 个 数字 d,;， 使 得 如 
果 在 调用 DFS(z) 之 前 调用 DFS(s) 终 止 ， 
则 a, 过 4d,。 根 据 这 个 编号 , FS 5, os S 
是 可 达 状 态 的 排序 ， 并 满足 属性 pgp。 用 si 
表示 属于 环 路 中 排序 的 第 一 个 状态 用 Q 
表示 从 状态 w G<D) WK MARA 
集合 。 : 


Input; A transition system T and property ø; 

Output: If g is a repeatable property of T return 1, else return 0; 
set (state) Reach := EmptySet; 

set (state) NReach := EmptySet; 

stack (state) Pending := EmptyStack; 

state s := FirstInitState (7) ; 


whiles # null do { 
if Contains (Reach, s)=0 then 
if DFS(s)=1then return l; 
s := NextInitState (s, 7); 
}; 


; 
return 0. 


bool function DFS(state s) 
Insert (s, Reach) ; 
Push (s, Pending) ; 
state t := FirstSuccState(s, 7); 
whiler# null do { 
if Contains (Reach, t)=0 then 
if DFS(@=1then return l; 
t := NextSuccState (s, t, T); 


B 
if Satisfies(s,g)= 1 then 
if Contains (NReach, s)=0 then 
if NDFS(s)=1 then return l; 
Pop (Pending) ; 
return 0. 


bool function NDFS(states) 
Insert (s, NReach); 
state t := FirstSuccState (s, 7); 
whilet# null do { 
if Contains (Pending, )=1 then return l; 
if Contains (NReach, s)=0 then 
if NDFS(#)=1then return l; 
t := NextSuccState (s, t, T); 
}; 


return 0, 





图 5-11 检查 重复 性 的 榜 套 深度 优先 搜索 算法 


我 们 首先 声明 包含 状态 s 的 环 路 与 集合 Q 是 不 相交 的 。 如 果 相 交 ， 则 存在 一 个 属于 集合 


Q 的 状态 t, 使 得 状态 s; Al 属于 一 个 环 路 。 这 就 意味 着 状态 s; 是 从 某 个 状态 ODK 
(因为 状态 tt 必须 从 这 些 状态 可 达 )。 因 此 ， 从 状态 s; 开始 的 搜索 保证 会 检查 状态 s;， 但 是 给 
定 状态 的 排序 ， 我 们 知道 在 调用 DFS(s;) 前 ， 调 用 DFS(s; ) 终 止 。 这 只 有 当 调用 DFS(s; ) 时 调 
用 DFS(s;) 是 挂 起 的 时 才 可 能 发 生 。 这 就 意味 着 状态 s 也 是 从 状态 s 可 达 的 ， 这 样 状态 s 也 
在 环 路 中 ， 这 就 与 假设 (假设 状态 s 是 属于 一 个 环 路 中 的 排序 的 第 一 个 状态 ) 出 现 了 矛盾 。 

当 从 状态 s; 开始 的 初步 搜索 终止 时 ， 集 合 NReach 包含 二 次 搜索 目前 已 访问 的 状态 的 
集合 NReach 等 于 集合 Q。 因 为 状态 s; 不 属于 集合 Q， 所 以 用 状态 s 作为 输入 调用 函数 
NDFS。 因 为 存在 一 个 包含 状态 s 但 不 涉及 已 经 在 集合 NReach 中 的 任何 状态 的 环 路 ， 所 
以 二 次 搜索 一 定 保证 可 以 发 现 这 个 环 路 。 

为 了 理解 这 个 算法 的 工作 原理 ， 我 们 考虑 图 5-12 中 的 迁移 系统 。 初 始 状 态 是 A， 状态 
BALE 满足 属性 。 算 法 的 执行 在 图 5-13 中 冰 述 。 第 一 列 列举 了 对 函数 DFS 和 NDFS 的 调 
用 ， 其 中 缩 进 表示 哪个 调用 是 挂 起 的 。 随 后 的 列 列举 了 栈 Peuding 的 值 ( 最 左边 的 元 素 是 
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栈 顶 元 素 )， 以 及 集合 Reach 和 NReach 的 值 。 





(A) 
bg» 
i © 
(F) NDFS (E) 
图 5-12 解释 重复 性 算法 的 样本 迁移 系统 图 5-13 解释 租 套 深度 优先 搜索 算法 的 执行 过 程 


最 初 ， 使 用 初始 状态 A 作为 输入 调用 DFS， 然 后 调用 DFS(B)， 依 次 调用 DFS(D) 和 
DFS(F) 。 因 为 状态 下 的 唯一 后 继 已 经 在 集合 Reach 中 ， 所 以 调用 DFS(F) 终 止 。 因 此 ， 
dr 二 1。 接 着 ，DFS(D) 调 用 也 终止 了 (dp 二 2)。 此 时 ， 在 DFS(B) 的 执行 中 ， 状 态 BRA 
更 多 的 后 继 状态 ， 并 且 因 为 状态 B 满足 要 求 的 属性 ， 所 以 二 次 搜索 第 一 次 通过 调用 NDFS(B) 
开始 执行 。 然 后 依次 调用 NDFS(D) 和 NDFS(F)。 所 有 这 些 调用 都 终止 报错 : BE Pending 包 
BURA A 和 B， 但 并 没有 遇 到 通 向 这 些 状 态 的 任何 一 个 的 迁移 。 当 调用 DFS) E de= 
3) 时 ， 集 合 NReach 包含 从 状态 B 可 达 的 所 有 状态 ， 也 就 是 说 ， 状 态 B、D 和 下 。 从 状态 
A 开始 的 初步 搜索 现在 开始 调用 DFS(C)， 接 着 调用 DFSCE)。 状 态 互 的 所 有 后 继 状态 都 
已 经 在 集合 Reach 中 ,但 是 因为 状态 EE 满足 属性 ， 所 以 通过 调用 NDFS(E) 调 用 另 一 个 二 
KR. WN, 已 经 假设 状态 B、D 和 下 被 二 次 搜索 访问 过 了 ， 因 此 不 会 搜索 从 状态 玉 到 
状态 下 的 迁移 用 于 建立 状态 E 的 重复 性 。 根 据 这 个 算法 的 正确 性 论证 ， 这 是 合理 的 : 因 
为 DFS(B) 已 经 终止 ,但 并 没有 发 现 包 含 的 状态 B 的 环 路 ， 包 含 状态 E 的 环 路 不 可 能 包含 
从 状态 B 出 发 的 可 达 状 态 。 事 实证 明 ， 状 态 已 有 一 个 后 继 状 态 ， 即 栈 中 的 状态 A。 结 果 ， 
调用 NDFS(E) 终 止 报告 成 功 ， 导 致 所 有 的 挂 起 调用 都 终止 并 返回 1。 

注意 ， 与 图 3-16 所 示 的 深度 优先 搜索 算法 一 样 ， 髓 套 深度 优先 搜索 算法 可 以 在 搜索 
所 有 可 达 状 态 前 发 现 一 个 环 路 。 例如， 对 于 图 5-12 的 迁移 系统 ， 如 果 我 们 引入 一 条 从 状 
S D 到 状态 B AEB, W NDFS(B) 调 用 将 发 现 一 个 环 路 ， 并 且 这 个 算法 不 用 访问 状态 C 
ME 就 终止 了 。 如 果 迁 移 系 统 的 可 达 状 态 数量 是 有 限 的 ， 则 它 肯 定 能 终止 并 返回 正确 的 答 
案 。 这 些 属性 在 下 面 的 定理 中 进行 了 总 结 。 

定理 5. 2( 重 复 性 检查 的 谈 套 深度 优先 搜索 ) ”给 定 一 个 可 数 分 支 迁 移 系 统 丁 和 一 个 属 
性 pgp， 图 5-11 的 谋 套 深度 优先 搜索 算法 有 如 下 的 保证 : 

1) 如 果 算 法 终止 ， 则 它 的 返回 值 正确 地 表明 属性 gp 是 否 是 TT 的 重复 属性 。 

2) 如 果 丁 的 可 达 状 态 数 是 有 限 的 ， 则 算法 终止 ， 并且 调 用 DFS 和 NDFS 的 数量 是 有 
界 的 ， 其 界限 为 可 达 状 态 数 。 
练习 5. 18: 修改 图 5-11 所 示 的 嵌 套 深度 优先 搜索 算法 ,使 其 输出 一 个 反例 ， 该 反例 包含 一 条 从 初始 状态 

到 满足 p 的 状态 s 的 执行 ， 并 有 一 个 从 * 再 回 到 自身 的 环 路 执行 。 


5.2.4 符号 重复 性 检查 


回想 在 3-4 节 讨 论 的 通过 迭代 的 图 像 计算 的 不 变量 验证 的 符号 广度 优先 搜索 算法 。 我 
们 现在 开发 一 种 符号 谋 套 搜索 算法 来 检查 迁移 系统 是 否 有 重复 访问 给 定 属性 的 无 限 执行 。 
与 之 前 一 样 ， 我们 假设 类 型 变量 集合 V 上 的 状态 集合 可 以 用 reg 类 型 的 区 域 表示 。 在 有 
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状态 变量 S 的 迁移 系统 的 符号 表示 中 ， 初 始 状态 用 定义 在 变量 S$ 上 的 区 域 Init 表示 ， 变 迁 
用 定义 在 变量 SUS 上 的 区 域 Trans 表示 。 属 性 (需要 检查 它 的 重复 性 ) 也 用 定义 在 变量 
S 上 的 区 域 表示 。 与 3.4 节 讨 论 的 一 样 ， 区 域 的 数据 类 型 reg 支持 一 些 操作 ， 如 Conj, 
Diff 和 IsSubset。 

图 像 和 前 像 计算 

符号 检验 算法 的 核心 步骤 是 图 像 计 算 。 给 定 一 个 定义 在 状态 变量 S 上 的 区 域 A， 这 个 
区 域 包含 从 区 域 A 中 的 状态 一 步 到 达 的 所 有 状态 ， 可 以 使 用 如 下 定义 的 Post 操作 符 计 算 
这 个 区 域 A: 

Post(A, Trans) =Rename(Exists(Conj(A, Trans), S), S’, S) 

对 偶 操 作 符 对 应 于 前 像 计算 : 给 定 一 个 定义 在 状态 变量 S 上 的 区 域 A， 这 个 区 域 包含 
从 区 域 A 中 的 某 个 状态 一 步 可 达 的 所 有 状态 ,该 区 域 称 为 区 域 A 的 前 像 。 给 定 一 个 区 域 
A， 为 了 计算 它 的 前 像 ， 我 们 首先 重 命名 未 加 搬 号 变量 为 加 搬 号 变量 ， 并 将 它 与 SUS 上 
的 迁移 区 域 Trans 相交 ， 以 便 包 含 通 向 区 域 A 中 状态 的 所 有 迁移 。 然 后 我 们 通过 存在 量化 
S 中 的 变量 ， 将 结果 投射 到 定义 在 未 加 撤 号 状态 变量 的 集合 S 上 。 因 此， 前 图 操作 符 Pre 
定义 为 : 

Pre(A, Trans)=Exists(Conj(Rename(A, S, S’), Trans, S’) 

我 们 考虑 用 一 个 例子 来 解释 前 像 计算 。 假 设 系 统 有 一 个 real 类 型 的 变量 zx， 根据 如 

下 的 条 件 语句 对 它 进行 更 新 
if(1&<zrz<5)then z :一 zZ 一 1] elses *=xr+t] 
则 迁移 区 域 是 由 下 式 定义 
[d<2<5) N@ =24+D) V0CA>2) V >5)) AG’ 二 了 十 ID 

考虑 公式 IKI 给 出 的 区 域 A， 我们 应 用 必要 的 步骤 序列 计算 区 域 A 的 前 像 。 首 
E, 我 们 重 命名 变量 z 为 x'， 这 给 出 了 公式 1<z <2, HK, 我们 将 这 个 区 域 与 迁移 区 
ik Trans 连接 ， 这 可 以 得 到 下 面 简化 后 的 结果 

[hess SOA G9 = 2=)D AOS <DIV OSD Vie@>d) 
A(z’ =2z+1) A Ax’ <2))] 
最 后 ， 应 用 存在 量化 删除 变量 x ， 结 果 为 
[KE 六 < Dan eS VS DW oe > DA AS aet1<2)] 
这 个 公式 可 以 简化 为 
Zizi V O<ze<) 

它 精确 地 描述 了 期 望 的 2 MRA. LAMAR a RRR aL], 2]. 

REFSER 

图 5-14 中 的 检查 重复 性 的 符号 算法 使 用 了 图 像 和 前 像 计 算 。 这 个 算法 有 两 个 阶段 : 
第 一 阶段 包含 一 个 while 循环 ;第 二 阶段 包含 两 个 嵌 套 的 while 循环 。 

算法 的 第 一 个 阶段 要 通过 重复 地 应 用 图 像 计 算 操 作 符 Post， 计 算 从 初始 状态 的 区 域 
Init 开始 的 所 有 状态 可 达 区 域 Reach。 这 与 图 3-19 所 示 的 算法 类 似 。 我 们 通过 图 5-12 所 示 
的 样本 迁移 系统 来 解释 这 个 算法 。 图 5-15 展示 了 在 初始 时 、 每 次 迭代 后 以 及 在 算法 的 第 
一 个 阶段 中 区 域 Reach 和 New 的 值 。 

第 二 阶段 尝试 发 现 属性 p 重复 出 现 的 无 限 执行 。 表 明成 功 重复 出 现 的 状态 集合 使 用 区 
域 Recur 描述 。 这 个 区 域 最 初 包含 所 有 满足 属性 o 的 可 达 状 态 ， 并 可 用 第 一 阶段 结束 时 计 
算 的 区 域 Reach 与 表示 属性 的 区 域 相 交 来 进行 计算 。 我 们 称 这 个 区 域 为 Recuro。。 对 于 这 个 
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集合 中 的 每 个 状态 *， 我 们 想 要 确定 是 否 存在 一 条 执行 ， 这 条 执行 包含 一 条 或 多 条 从 状态 s 
出 发 到 Recur 中 的 某 些 状态 的 迁移 。 为 了 计算 这 些 信 息 ， 内 层 循环 重复 地 应 用 前 像 计算 寻 
找 那些 经 过 一 个 或 多 个 迁移 到 达 Recur 的 可 达 状 态 。 这 个 计算 过 程 与 计算 可 达 状 态 类 似 ; 
区 域 Reach 初始 化 为 空 集 ， 它 包含 已 搜索 的 状态 ; KM New 初始 化 为 从 当前 集合 Recur 
一 步 可 达 的 状态 ， 它 包含 要 搜索 的 状态 。 在 内 层 循 环 的 每 次 迭代 中 ， 通 过 给 区 域 New 增 
加 未 搜索 的 状态 来 更 新 区 域 Reach。 通 过 计算 当前 集合 New 的 前 像 并 使 用 集合 差 操 作 删 除 
Reach 中 已 搜索 的 状态 来 获得 最 新 搜索 的 状态 集合 。 当 没有 新 的 状态 要 检查 时 ， 内 层 循环 
就 终止 。 此 时 ， 区 域 Reach 精确 地 包含 到 Recurs 中 某 个 状态 那些 状态 。 通 过 将 这 个 区 域 与 
Recur 相交 ， 得 到 集合 Recuri ，Recuro 的 子 集 。 外 层 循环 开始 使 用 修改 后 的 Recur 值 来 重 
复 计 算 。 
输入 : 由 完成 状态 初始 化 的 区 域 Init、 完 成 变迁 的 区 域 Trans 和 


区 域 属 性 三 者 决定 的 一 个 迁移 系统 7 
输出 : 如 果 系 统 7 的 性 质 是 可 重复 ， 则 返回 值 为 1， 否 则 返回 值 为 0 


reg Reach := Empty; 

reg New := Init, 

while IsEmpty (New)=0 do { 
Reach := Di sj (Reach, New); 
New := Dif f (Post (New, Trans) , Reach) ; 
i 

reg Recur := Conj (Reach, ø); 


while IsEmpty (Recur)=0 do { 
Reach := Empty; 
New := Pre (Recur, Trans) ; 
while IsEmpty (New)=0 do { 
Reach := Disj (Reach, New); 
if IsSubset (Recur, Reach)=1 then return l; 
New := Di f f (Pre (New, Trans) , Reach) ; 


H 
Recur := Conj (Recur, Reach) ; 
} . 


; 
return 0. 





图 5-14 检查 重复 性 的 符号 典 套 搜索 算法 


} 
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5-15 解释 图 5-14 所 示 算法 第 一 阶段 的 执行 过 程 


为 了 解释 算法 的 第 二 阶段 ， 我 们 继续 使 用 图 5-12 所 示 的 迁移 系统 的 例子 。 图 5-16 展 
示 了 在 每 次 迭代 时 区 域 Recur、Reach 和 New 的 值 。 最 初 ， 集 合 Recur PARA B AE 作 
为 重复 状态 的 潜在 候选 。 外 层 循 环 的 一 次 迭代 发 现 没 有 从 状态 B 返回 这 个 集合 的 执行 ， 因 
此 Recur 集合 就 更 新 为 { 瑟 ) 。 在 外 层 循环 的 第 二 次 迭代 中 ， 内 层 循 环 计 算 从 这 些 状 态 到 状 
态 巨 的 状态 集合 。 在 内 层 循 环 的 第 三 次 迭代 中 ， 将 状态 玉 加 入 区 域 Reach 中 ， 这 导致 算 
法 成 功 终止 。 
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图 5-16 解释 图 5-14 所 示 算 法 第 二 阶段 的 执行 过 程 


正确 性 

用 Recur, ，Recurz ，… 表 示 在 外 层 while 循环 结束 时 赋 给 区 域 变 量 Recur 的 连续 值 。 
每 个 集合 Recur; 都 是 集合 Recur-, WFR, AA Recur -中 经 过 一 条 或 多 条 迁移 的 执行 从 
Recur;_ 1 中 的 某 个 状态 到 达 Recur;_1 的 那些 状态 。 因 此 ， 每 个 集合 Recur; 包含 状态 s 使 得 
状态 从 某 个 初始 状态 是 可 达 的 ， 状 态 ; 满足 属性 p， 存 在 一 条 从 状态 s 出 发 的 执行 ， 这 条 
执行 遇 到 满足 属性 p 的 状态 至 少 i 次 。 

假设 对 于 迁移 系统 工 来 说 ， 属 性 p 是 可 重复 的 。 存 在 一 个 状态 s， 该 状态 从 某 个 初始 
状态 是 可 达 的 ， 并 且 状 态 s 满足 p， 存 在 一 条 从 状态 s 开始 的 无 限 执行 ， 这 条 执行 遇 到 满 
足 属性 p 的 状态 无 限 多 次 。 这 样 的 状态 s 将 属于 每 个 集合 Recur;， 因 此 决 不 会 从 Recur 中 
删除 。 结 果 ， 如 果 在 算法 执行 的 任何 时 刻 的 值 变 成 空 集 ， 那 么 不 存在 这 样 的 状态 ;s， 该 算 
法 就 会 终止 声称 属性 p 是 不 可 重复 的 。 

相反 ， 假 设 对 于 当前 非 空 集合 Recur;, M Recur; 中 的 每 个 状态 ，Recur; 中 某 个 状态 
经 过 一 条 或 多 条 迁移 的 执行 是 可 达 的 。 在 外 层 循 环 的 连续 和 迭代 中 ， 集 合 Reach 的 终 值 是 
Recur; 的 超 集 。 因 为 区 域 Reach 是 通过 增加 越 来 越 多 的 经 过 一 条 或 多 条 迁移 到 达 Recur, 
的 状态 来 迭代 地 计算 的 ， 所 以 当 算 法 发 现 Reach 是 Recur; 的 超 集 时 ， 算 法 就 终止 报告 属 
性 p 的 重复 性 。 在 这 个 情况 下 ， 我 们 讨论 确实 存在 一 条 属性 p 重复 的 无 限 执 行 。 用 so 表示 
Recur; 的 任何 状态 。 因 为 Recur; 是 Recur 的 子 集 ， 所 以 状态 so。 从 初始 状态 是 可 达 的 。 因 
此 ， 它 足以 证 明 存 在 一 条 从 状态 so 开始 的 无 限 执 行 ， 属性 p 重复 无 限 多 次 。 从 状态 so 开 
始 ， 存 在 一 个 经 过 一 条 或 多 条 通 向 Recur; 中 的 某 个 状态 s; 的 迁移 的 执行 。 从 状态 s: 开始 ， 
在 一 个 经 过 一 条 或 多 条 通 向 Recur; 中 的 某 个 状态 ;的 迁移 的 执行 。 这 个 过 程 可 以 永远 重 
复 。 把 这 些 有 限 执行 都 连接 起 来 就 得 到 了 期 望 的 满足 属性 o 的 无 限 执行 。 

复杂 性 分 析 

如 果 T 的 可 达 状 态 数 是 有 限 的 ， 那 么 保证 它 是 可 以 终止 的 。 假 设 工 的 可 达 状 态 数 是 
7 ， 有 上 个 状态 满足 属性 p。 那 么 则 集合 Recuro 包 含 个 状态 ， 外 层 循 环 的 迭代 数 最 多 为 
(因为 状态 仅仅 从 Recur 中 删除 ， 并 且 如 果 Recur 的 值 不 发 生变 化 ， 那 么 该 算法 就 终止 )。 
在 外 层 循 环 的 每 次 迭代 中 ， 由 于 内 层 循环 迭代 计算 Recur 中 的 可 达 状 态 ， 所 以 内 层 循 环 最 
多 执行 n 次 。 算 法 的 实际 运行 时 间 依 赖 于 在 区 域 上 不 同 操作 执行 的 效率 ,但 是 符号 操作 数 
是 平方 级 的 。 

算法 的 正确 性 和 复杂 性 总 结 如 下 。 

定理 5. 3( 检 查 重 复 性 的 符号 谈 套 搜索 ) 给 定 一 个 迁移 系统 了 的 符号 表示 和 一 个 属性 
po B 5-14 所 示 的 符号 谋 套 搜索 算法 有 以 下 的 保证 : 

1) 如 果 算 法 终止 ， 则 返回 值 正确 地 表明 对 迁移 系统 丁 属性 g 是 否 是 重复 的 。 
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2) 如 果 迁 移 系 统 本 有 nn 个 可 达 状 态 ， 其 中 个 状态 满足 属性 pg， 则 在 区 域 上 最 多 OCnk) 
次 操作 后 算法 终止 。 
练习 5. 19: 考虑 一 个 有 两 个 nat 类 型 的 变量 zx 和 y 的 迁移 系统 。 假 设 系统 的 迁移 是 由 以 下 条 件 语句 描 
述 的 : 
if(z>y)then x 二 了 十 1] else y*=x 
首先 ， 使 用 有 xc. ys 和 的 公式 Trans 来 描述 迁移 区 域 。 考 虑 通过 公式 1 委 y 生 5 给 定 的 区 
域 A。 计 算 区 域 A 的 前 像 。 
练习 5.20" : 图 5-14 的 算法 既 使 用 后 像 计 算 又 使 用 前 像 计算 。 假 设 我 们 通过 用 调用 Post 替换 调用 Pre 
来 修改 算法 ， 也 就 是 说 ， 在 第 二 阶段 ， 用 New :=Post(Recur, Trans) 和 New ‘= diff 
(Post(New，Trans)，Reach) 分 别 替换 New :二 Pre(Recur,， Trans) 和 New :二 diff(Pre 
(New，Trans) ，Reach) 。 这 样 的 修改 对 算法 的 正确 性 有 什么 影响 吗 ? 请 证 明 你 的 答案 。 


5.3 活性 证 明 ” 


在 3. 2. 1 节 中 ， 我 们 学 习 了 建立 迁移 系统 不 变量 的 一 般 证 明 方 法 : 给 定 一 个 迁移 系统 
TT 和 一 个 定义 在 状态 变量 上 的 属性 p， 为 了 证 明 属 性 gq 是 迁移 系统 本 的 不 变量 ， 我 们 寻找 
另 一 个 属性 y 并 证 明 : 1) 属 性 y 是 迁移 系统 T 的 递归 不 变量 ; 2) 属 性 y 蕴含 属性 p。 基 于 
递归 不 变量 的 证 明 技 术 是 有 吸引 力 ， 原 因 是 : 第 一 ， 这 种 方法 是 来 源 于 直觉 和 为 了 说 服 系 
统 自身 正确 性 的 非 正 式 的 讨论 。 第 二 ,规则 的 形式 化 在 数学 上 是 精确 的 ， 并 且 该 规则 能 够 
用 来 产生 系统 正确 性 的 机 器 可 检查 的 证 明 。 第 三 ， 这 个 规则 适用 于 所 有 不 变量 属性 。 现 
在 ， 我 们 关注 证 明 迁 移 系 统 活性 的 技术 。 

考虑 一 个 有 状态 变量 S 的 迁移 系统 工 。 这 种 迁移 系统 的 活性 属性 可 以 用 定义 在 变量 集 
合 S 上 的 LTL 公式 来 表示 : 如 果 迁 移 系 统 了 的 每 个 无 限 执行 都 满足 LTL 公式 g， 则 迁移 
系统 工 满足 p。 建 立 满足 LTL 公式 9 的 迁移 系统 的 证 明 规 则 的 精确 细节 依赖 于 公式 9 的 
结构 。 我 们 关注 最 常 出 现 的 模式 eventuality 属性 和 response 属性 假设 为 弱 公 平 的 。 


5. 3. 1 eventuality 属性 


我 们 重新 回顾 2. 4. 3 节 中 的 领导 选举 协议 。 我 们 想 要 建立 这 样 一 个 协议 : 每 个 节点 最 
终 都 会 做 出 决定 。 由 于 当 一 个 节点 的 状态 变量 > 的 值 等 于 N(N 是 网 络 中 节点 的 总 数量 ) 
时 ， 该 节点 通过 更 新 输出 变量 状态 来 宣布 它 的 决定 ， 所 以 我 们 想 要 说 明 最 终 r 的 值 成 为 
N 。 更 准确 地 说 ， 我 们 想 要 证 明 对 应 于 协议 的 迁移 系统 的 每 个 无 限 执行 都 满足 eventually 
公式 0(7, 二 N)， 其 中 是 一 个 任意 节 扣 。 

为 了 让 人 信服 图 2-35 的 构件 满足 eventually 公式 90(r, 一 N)， 观 察 以 下 情况 变量 r, 
的 初始 值 是 1， 在 每 次 循环 中 只 要 它 小 于 N 就 给 它 递 加 1。 为 了 形式 化 地 描述 这 种 说 法 背 
后 的 直觉 ， 我 们 定义 一 个 从 迁移 系统 的 状态 到 自然 数 的 函数 rank: 在 迁移 系统 的 给 定 状 态 
s，rank(s) 的 值 是 N 和 状态 s 赋予 变量 x, 的 值 的 差 。 函数 rank 描述 了 从 期 望 的 未 来 某 一 目 
标 到 该 状态 的 距离 。 为 了 证 明 每 个 执行 都 满足 eventually AROC, =N), RAIA RAR 
aS s 不 满足 期 望 的 未 来 某 一 状态 (也 就 是 说 ， 状 态 s 中 的 循环 变量 的 值 还 不 是 N)， 则 执行 
协议 多 步 并 递减 rank， 也 就 是 说 ， 如 果 (s, 由 是 系统 的 一 条 迁移 ， 则 rank(t)<rank(s), 
因为 rank 的 返回 值 是 自然 数 ， 所 以 它 不 能 一 直 递 减 ， 这 就 意味 着 满足 期 望 的 未 来 某 一 状 
态 必 须 在 有 限 步 内 达到 。 

函数 rank 需要 将 每 个 状态 映射 到 自然 数 ， 并 不 仅仅 是 我 们 非 正 式 知道 的 可 达 状 态 。 在 
我 们 的 例子 中 ， 我 们 定义 : 如 果 sr I<N, HERS s 的 排名 函数 rank(s) 是 N 一 s(r,)， 否 
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则 为 0。 对 于 将 N 十 1 赋 给 变量 x; 的 状态 3， 排 名 是 0， 在 这 样 的 状态 上 执行 一 个 迁移 不 能 
递减 排名 。 尽 管 如 此 ,我们 知道 这 种 状态 是 不 可 达 的 。 更 准确 地 说 ， 我 们 说 明 O<r,<N 
是 系统 的 不 变量 ， 这 可 以 利用 已 经 学 习 的 证 明 技 术 去 建立 。 为 了 说 明 执 行 一 步 迁移 可 以 递 
减 排名 ， 现 在 可 以 关注 满足 不 变量 的 那些 状态 。 也 就 是 说 ， 我 们 说 明 对 于 系统 的 每 个 状态 
s RERE s WEA OS, SN, WRG. 几 是 系统 的 迁移 ， 则 要 么 状态 t 满足 未 来 某 
一 状态 要 么 它 的 排名 严格 小 于 状态 s 的 排名 。 

这 个 推理 总 结 在 下 面 的 证 明 规则 中 ， 该 证 明 规 则 用 于 建立 eventuality 属性 : 








eventuality 属性 的 证 明 规 则 
为 了 建立 满足 eventually 公式 Op 的 迁移 系统 工 ， 其 中 o BENET 的 状态 变量 上 
的 属性 ， 确 定 状态 属性 y AK T 的 状态 映射 到 nat 类 型 自然 数 的 函数 rank， 并 说 明 : 
1) 属性 y 是 工 的 一 个 不 变量 ; 
2) 对 于 满足 上 的 每 个 状态 ;和 工 的 每 个 迁移 (s，t)， 要 么 状态 1 满足 pg， BA 
rank(t)<rank(s), 


4 








为 了 建立 可 靠 的 证 明 规 则 ， 我 们 需要 讨论 : 如 果 我 们 建立 规则 的 两 个 前 提 ， 则 迁移 系 
统 必须 满足 公式 Og。 考虑 迁移 系统 的 无 限 执 行 5，s1，s;，…。 显 然 ， 出 现在 这 个 执行 上 
的 每 个 状态 s; 都 是 可 达 的 ， 并 且 根 据 第 一 个 前 提 满 足 不 变量 属性 w%。 为 了 说 明 在 这 个 执行 
上 的 某 个 状态 s; 必须 满足 期 望 的 eventualityp， 假 设 相 反 的 情况 。 然 后 根据 第 二 个 前 提 ， 
因为 在 每 个 相 邻 状态 对 Cs;，sj+1) 之 间 存 在 一 个 迁移 ， 所 以 对 于 每 个 (SO, RNA rank 
(sj+1) 过 rank(s;)。 但 是 ， 这 并 不 可 能 如果 rank(so) 是 KK， 则 因为 每 个 状态 的 排名 是 非 负 
数 ， 所 以 排名 可 以 最 多 递减 KK 次， 因此 它 不 能 在 无 限 执行 的 每 一 步 都 递减 。 
练习 5.21: 回顾 图 3-1 所 示 的 迁移 系统 GcD(m，7)， 它 描述 了 计算 两 个 数 m 和 的 最 大 公约 数 的 程序 。 
假设 我 们 想 要 建立 程序 终止 ,也 就 是 说 ， 最 终 mode 等 于 stop。 通 过 选择 合适 的 不 变量 和 排 
名 函数 ， 使 用 eventually 公式 的 证 明 规则 来 证 明 eventuality 属性 。 


5.3.2 条 件 response 属性 


典型 的 活性 属性 是 response 属性 “每 个 请 求 m 最 终 都 有 response œ”, H LTL 公式 
Olp Op RR. 

回忆 建立 eventually 公式 09 的 规则 : 我 们 找到 一 个 将 状态 映射 为 自然 数 的 排名 函数 ， 
确定 不 变量 属性 y， 并 说 明 在 满足 该 不 变量 的 任何 状态 上 执行 一 个 迁移 ， 要 么 导致 目标 实 
现 ， 要 么 递减 排名 。 首先, 我 们 考虑 如 何 归纳 这 个 推理 来 建立 response ARCO Co > 
8 )。 现 在 我 们 想 要 说 明 不 论 何 时 当 wm 成 立时 ， 执 行 系统 的 迁移 必须 产生 满足 目标 属性 
p 的 状态 。 我 们 再 次 使 用 将 状态 映射 为 自然 数 的 排名 函数 ， 并 且说 明 排名 持续 递减 直到 满 
足 目标 。 这 主要 依赖 下 面 的 证 明 原 理 : 


response 属性 的 证 明 规 则 
为 了 建立 满足 response ARO Clp 一 909g) 的 迁移 系统 T， 其 中 p 和 go 是 状态 属 
性 ， 确 定 状 态 属性 y 和 一 个 将 T 的 状态 映射 为 nat 类 型 自然 数 的 函数 rank， 并 说 明 : 


1) 每 个 满足 属性 w 的 状态 也 满足 属性 p; 
2) 对 于 满足 y 的 每 个 状态 s AT 的 每 个 迁移 (s，z)， 要 么 状态 t 满足 response 属 
性 gp, BAIS t 满足 属性 yy  rank(t)<rank(s). 
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在 eventuality 规则 的 情况 下 ， 属 性 y 描述 状态 ， 其 中 从 这 些 状态 执行 迁移 ， 导 致 要 么 
目标 实现 ， 要 么 递减 排名 。 但 是 ， 不 要 求 属性 y 是 一 个 系统 不 变量 ， 而 要 求 无 论 何 时 当 a 
成 立时 ， 属 性 y 也 成 立 ， 并 且 它 应 该 继续 成 立 直 到 responseg, 满足 。 

为 了 解释 建立 response 属性 的 证 明 技 术 ， 我 们 考虑 一 个 有 两 个 整 型 变量 工 和 >y 的 迁移 
AK. Rs 的 初始 值 是 1，y 的 初始 值 是 0， 系 统 的 迁移 对 应 于 执行 下 面 每 步 的 代码 : 

If(z>0)then{z *=x—-1; y*=yt1} else x =y 

工 值 的 序列 是 1，0，1，0，2，1;， 0, 4, 3, 2, 1, 0, 8, 7, =e, BDA PERE W EIEI 
属性 口 0(z 二 0)。 为 了 证 明 系 统 满足 这 个 循环 公式 ， 我 们 应 用 response 属性 的 证 明 规 则 ， 
即将 p 设置 为 1( 也 就 是 说 ， 永 真 );，g 设置 为 (z= 二 0)。 我 们 选择 y 和 gi 一样， 因此 规则 
的 前 提 1 就 满足 了 。 考 虑 状态 s=, DURE, r 等 于 a，y FTO), MRa>0, W 
排名 函数 rank 将 这 个 状态 s 映射 为 a， 如 果 a=0 则 映射 为 5 十 1。 为 了 建立 前 提 2， 考 虑 状态 
s=(a, b), WẸ a>0, Wj rank(s)= 二 a， 让 系统 执行 一 步 通 向 状态 t= (4 一 1，65 十 1)。 如 果 
a 二 1， 则 状态 t 满足 目标 (x 二 0) (在 这 种 情况 下 ，rank(z) 二 6 十 2， 比 rank(s) 大 很 多 ); 如 
Æ a>1, Mj a—1>0 H rank(t)=a—1, kE rank(s) 小 。 但 是 ， 如 果 a=0, Mj rank(s)=b 
十 1， 让 系统 执行 一 步 通 向 状态 t= (6, b) H rank()=6, He rank(s) 小 。 这 意味 着 证 明 规 
则 是 适用 的 ， 我 们 能 够 得 出 结论 : 系统 满足 口 0 (z=0)。 

为 Merge 建立 最 终 的 消息 传送 

我 们 看 一 看 图 4-3 所 示 的 异步 进程 Merge 的 例子 。 假 设 我 们 想 要 建立 这 样 一 个 系统 ， 
如 果 在 输入 通道 in 上 接收 消息 v， 那 么 该 消息 最 终 将 传送 到 输出 通道 out。 这 可 以 用 下 面 
的 response 属性 来 描述 : 

O Cin ?v > Qout! v) 
这 里 ， 请 求 属性 w 是 in, ?v， 它 的 实现 是 response 属性 Qoutl1v。 我 们 首先 选择 请 求 属性 的 
强化 属性 % 为 contains(zi，zn)。 注 意 不 论 该 进程 何 时 执行 输入 动作 ini?o， 都 将 消息 
放 在 状态 变量 zi 的 队列 中 ， 因 此 属性 Contains(Czi，o) 成 立 。 

为 了 定义 排名 函数 ， 考 虑 下 面 的 问题 ， 当 一 条 消息 v 在 队列 zx! 中 时 ， 我 们 期 望 哪 个 
量 单调 递减 直到 消息 v 从 队列 中 移 除 ? 这 个 量 是 消息 队列 中 消息 v 之 前 的 消息 数 。 因 此 ， 
给 定 一 个 状态 *， 如 果 队 列 s(zi) 不 包含 消息 vz， 则 rank(s) 为 0; 否则 ， 如 果 wv 是 队列 
s(zi) 中 的 第 个 消息 ， 则 rank(s) 为 &。 例如， 如 果 当 消息 vz 入 队列 时 队列 xz! 包含 5 条 消 
息 ， 则 vv 是 队列 中 的 第 6 条 消息 ， 排 名 是 6。 无 论 何 时 当 一 条 消息 从 队列 zi 中 移 除 ( 传 送 
到 输出 通道 ) 时 ， 消 息 二 移动 一 个 模 ， 导 致 排名 变 成 5。 这 个 过 程 一 直 重 复 到 消息 v 移 到 队 
首 。 这 种 状态 下 ， 排 名 是 1， 从 队列 zi 中 移 除 一 条 消息 将 导致 排名 变 为 0， 在 结果 状态 目 
标 属性 Qout!lv 满足 。 现 在 条 件 contains(Czi，z) 不 再 成 立 ， 排 名 保持 不 变 。 如 果 在 后 面 
的 步骤 输入 通道 in, 再 次 收 到 消息 vu， 那么 将 它 被 放 在 队列 zx; 中 ， 排 名 可 以 任意 递增 。 例 
如 ， 在 消息 %v 的 下 一 个 实例 到 达 输 入 通道 im 时 队列 x, 的 大 小 是 12， 则 将 立 放 在 第 13 槽 ， 
排名 是 13。 它 从 13 到 0 持续 递减 直到 消息 v 再 次 从 队列 zi 传送 到 输出 通道 。 

为 了 应 用 response 属性 的 证 明 规 则 ， 我 们 检查 属性 Qı 等 于 in ?v、 属 性 2 是 out!v 和 
属性 y 是 contains(Czi，z) 的 前 提 。 显 然 ， 规 则 的 前 提 1 成 立 : 满足 属性 o 的 状态 保证 
满足 属性 y。 此 外 ， 在 迁移 (s， 中 ， 其 中 状态 s 满足 y( 也 就 是 说 ， 消 息 wv 是 在 状态 s 的 
队列 zi 中 )， 并 且 状 态 t 不 满足 目标 (也 就 是 说 ， 在 这 个 迁移 中 ， 消 息 v 没 有 从 队列 in, 传 
送 到 输出 通道 )， 我们 保证 t 继续 满足 属性 y。 直 观 地 ， 属 性 contains(zi，z2) 一 直 保持 
真 并 且 保 存在 每 个 迁移 中 直到 目标 属性 成 立 。 
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但 是 ，response 公式 的 证 明 失 败 了 。 规 则 的 第 二 个 前 提要 求 在 满足 Contains, vH 
状态 中 ， 执 行 迁移 要 么 满足 目标 属性 outo, 要么 使 排名 递减 。 也 就 是 说 ， 当 消息 v 在 队列 
x 中 时 ， 执 行进 程 Merge 的 一 步 ， 要么 通 向 一 个 状态 使 得 消息 v 输 出 到 输出 通道 ， 要 人 么 使 
得 消息 v 在 队列 zi 中 移动 一 个 槽 。 只 有 当 输 出 任务 Al 在 队列 五 移 除 一 条 消息 并 将 该 消息 
传送 到 通道 out 时 ， 这 个 条 件 才 满足 。 如 果 迁 移 对 应 于 所 执行 除了 任务 Al 以 外 的 任何 任务 ， 
则 当 条 件 Contains(zi;，v) 继 续 成 立时 ， 排 名 也 保持 一 样 。 如 果 任 务 A 永 不 执行 ， 则 排名 
也 保持 不 变 ， 消息 v 也 永远 不 会 输出 。 事 实 上 ， 并 不 是 进程 Merge 的 所 有 执行 都 满足 
response 公式 口 (in1?v>Qoutlv)。 然 而 ， 这 个 公式 被 满足 任务 Al 的 弱 公 平 性 假设 的 所 有 执 
行 满足 。 我们 需要 加 强 response 属性 的 证 明 规 则 以 便 建立 这 样 的 条 件 response 属性 。 

条 件 response 的 证 明 规 则 

假设 我 们 想 要 建立 进程 Merge 满足 response AAC CGn ?v>Qout1v)， 假设 输出 任务 
At 的 弱 公平 性 。 对 于 y 我 们 使 用 相同 的 选择 ， 即 Contains(zi，w)， 以 及 相同 的 排名 函 
数 ， 也 即 给 定 一 个 状态 *， 如 果 队 列 s(zi) 不 包含 消息 vw， 则 rank(s) 为 0; BWAR v ÆA 
列 s(zi) 中 第 个 消息 ， 则 rank(s) 为 Rs 考虑 满足 属性 Contains(xi，wv) 的 状态 s 和 进程 
的 一 个 迁移 (s，) 使 得 迁移 不 涉及 将 消息 v 发送 到 输出 通道 上 。 不 坚持 前 面 response 规则 
要 求 的 rank(t)<rank(s), 我们 现在 考虑 两 种 情况 。 当 从 状态 s 到 状态 的 迁移 包含 任务 A 的 
执行 时 ， 我 们 要 求 rank(1) 二 rank(s); 否则 ， 它 足够 说 明 排 名 没有 递减 (也 即 rank(t) 坟 rank(3))， 
但 是 任务 Aj 应 该 在 状态 t 是 使 能 的 。 直 观 地 ,任务 Al 有 责任 递减 排名 ， 因 此 导致 进程 实现 目 
标 。 执 行 除了 Ai 以 外 的 任务 应 该 维持 任务 Al 的 使 能 性 而 不 递增 排名 。 任 务 Al 的 弱 公 平 性 假 
设 保证 如 果 任 务 Al 持续 保持 为 使 能 的 ， 那 么 它 最 终 会 执行 ， 这 将 递减 排名 。 

假设 任务 Aj 的 弱 公 平 性 建立 response 公式 与 建立 下 面 的 所 有 执行 的 条 件 response 响 
式 是 一 样 的 : 

DL[Guard(A?) >0O((taken = A?) V ` Guard(A})) ] > Olin: ?v > Ooutlv] 

下 面 形式 化 的 证 明 规则 说 明 如 何在 形 如 口 Lyy 一 0 (ys V 一 )j 的 假设 下 建立 response 
公式 口 (gy 一 0ps)。 当 属性 加 是 Guard(A)， 属性 y 是 (taken= 二 A) 时 ,假设 对 应 于 任务 A 
的 弱 公 平 性 假设 。 如 果 我 们 选择 属性 y, 是 常数 ]， 则 假设 就 简化 为 口 Oy 。 


条 件 response 属性 的 证 明 规 则 
为 了 建立 满足 条 件 response ARO O(™® V 7h) Je Ome.) HEB RSE 


T, EPO. or p Ap 是 状态 属性 ， 确 定 一 个 状态 属性 清和 一 个 将 工 的 状态 映射 为 
nat 类 型 自然 数 的 函数 rank， 并 说 明 : 

1) 满足 属性 o 的 每 个 状态 也 满足 属性 y。 

2) 满足 属性 y 的 每 个 状态 也 满足 属性 y,， 并 且 

3) 对 于 满足 y 的 每 个 状态 s AT HENEB, t), HARS t 满足 response 属 
Ep, BARA t 满足 属性 y H rank(t) 达 rank(s)， 并 且 如 果 状 态 t 满足 属性 g: 








rank(ż)<rank(s). 








使 用 这 个 证 明 规 则 的 表示 法 假设 输出 任务 A 的 弱 公 平 性 ， 我 们 对 满足 response 属性 
口 (ini?v>Qout1v) 的 进行 Merge 的 证 明 进 行 总 结 。 对 于 上 述 证 明 规则 ， 我 们 有 属性 mw 等 
于 im ?v、 属 性 p 等 于 outlv、 属 性 y 等 于 Guard(Af)， 属 性 p 等 于 (taken 一 Ai) 。 我 们 
选择 属性 y 是 Contains(zxi，v)， 函 数 rank 将 状态 映射 为 队列 zi 中 消息 v 的 位 置 (如 
果 队 列 不 包含 消息 w， 则 映射 为 0) 。 检 查 规 则 所 要 求 的 3 个 前 提 确 实 都 满足 。 
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我 们 通过 概述 一 个 证 明 总 结 出 : 条 件 response 的 证 明 规则 后 面 的 推理 是 可 靠 的 : 如 果 
我 们 说 明 规 则 的 所 有 前 提 ， 则 迁移 系统 的 每 个 执行 都 确实 满足 要 求 的 条 件 response 公式 。 结 
果 是 ， 这 个 证 明 规则 ， 与 有 效 时 序 模式 (例如 ， 链 式 法 则 ) 相 结合 是 完备 的 : 如 果 迁 移 系 统 确 
实 满足 条 件 response 公式 ， 则 一 定 存 在 强化 属性 的 % 适 当选 择 和 规则 的 所 有 前 提 都 成 立 的 排 
列 函 数 rank, 

定理 5. 4( 条 件 response 证 明 规则 的 可 靠 性 ) ”建立 满足 由 口 [yg 一 (ys Vp) 
口 (pg 一 99s) 给 出 的 条 件 response 公式 p 的 迁移 系统 本 的 证 明 规则 是 可 靠 的 。 

证 明 : $ 工 是 一 个 迁移 系统 ， 考虑 形 如 口 [Ly > (h V Tga )] 一 口 (w Oo, KI CTL 
公式 pg。 设 y 是 状态 属性 ，rank 是 将 工 的 状态 映射 为 nat 类 型 自然 数 的 函数 ， 使 得 1) 满足 
属性 o 的 每 个 状态 也 满足 属性 p: 2) 满 足 属性 yy 的 每 个 状态 也 满足 属性 wy; 3) 对 于 满足 y 
的 每 个 状态 s MT 的 每 个 迁移 (s，1)， 使 得 状态 tz 不 满足 属性 gpg;， 状 态 t 满足 属性 y H 
rank(t)<rank(s), FFA MWRRA 上 满足 属性 加， 则 rank (四 二 rank(s)。 在 这 些 假设 下 ， 
我 们 想 要 说 明 工 的 每 个 无 限 执行 都 满足 公式 o. 

用 pp 二 so515,… 表 示 迁 移 系统 工 的 一 个 无 限 执行 。 假 设 执行 p 满足 公式 口 [py 一 0 (yp V7). 
我 们 想 要 说 明 执 行 o 满足 公式 口 (pg, 一 0qs)。 用 i 表示 执行 中 的 位 置 。 假 设 状态 s: 满足 请 
求 属性 gi。 我 们 想 要 建立 : 存在 一 个 位 置 /三 1， 使 得 状态 sW E response 属性 p. RT 
将 通过 矛盾 来 证 明 它 。 假 设 在 每 个 状态 s (j 三 让 都 不 满足 属性 p. 

我 们 声明 对 每 个 位 置 三 i:， 状 态 s; 满 足 属性 y。 通 过 对 7 上 进行 归纳 来 证 明 ， 其 中 j= 
i 是 基本 情况 。 因 为 状态 s 满足 属性 gw; ， 根 据 前 提 1， 它 也 满足 属性 y。 现 在 考虑 一 个 任 
意 状态 GSD., BERS s; 满 足 属性 y。 由 于 状态 s; 和 状态 sj;1 是 沿 着 执行 p 上 出 现 的 连 
续 状 态 ， 所 以 存在 一 个 从 状态 5 到 状态 sj;41 的 迁移 。 基 于 假设 ,状态 sj+1 不 满足 属性 po。 
根据 前 提 3， 我 们 得 出 状态 s;;1 满 足 属性 y。 

根据 前 提 2， 我 们 得 出 每 个 状态 s;(j 三 让 也 满足 属性 办。 因为 执行 o 满足 公式 口 [yi 一 
(lyzV 一 1 )]， 所 以 根据 时 序 操作 符 的 语义 ， 我 们 得 出 存在 无 限 多 个 位 置 js jes (i 一 
IT< JE , 使 得 对 于 每 个 k, 状态 sx 满足 属性 ys o 

用 rank(s;) 二 m。 我 们 知道 在 每 一 步 (j 宇 i) ， 状 态 % 满足 属性 水 ， 状 态 54, RIE 
pz，(s;，5;+1) 是 的 一 个 变迁 移 。 根 据 前 提 3， 在 每 一 步 (j 宇 2)，rank(s,+1) 寺 rank(s;)。 
因为 对 每 个 &， 状 态 sy 满足 属性 y;， 排 名 必须 在 这 步 严 格 递 减 : rank(sy)<rank(sp—1). 

总 之 ， 排 名 在 第 i 步 是 mw， 在 i 后 的 每 一 步 它 保持 不 变 或 者 递减 ， 并 且 它 在 无 限 多 步 
j1，j2"… 严 格 递 减 。 这 是 一 个 矛盾 。 a 
练习 5. 22: 考虑 一 个 异步 进程 ， 它 有 nat 类 型 的 状态 变量 工 和 yy， 并 且 工 和 > 的 初始 值 都 为 0。 这 个 进 

程 包含 两 个 总 是 使 能 的 任务 。 对 于 任务 A ， 它 的 更 新 用 下 面 的 语句 表示 

If(z>0)then z :一 2 一 ] else zx *=y 
对 任务 As ， 它 的 更 新 用 语句 是 y := 二 y 十 1。 对 这 两 个 任务 都 做 弱 公 平 性 假设 。 使 用 条 件 
response 属性 的 证 明 规 则 ,证 明 进 程 满足 循环 属性 口 OZ 一 0。 


参考 文献 说 明 


虽然 时 序 远 辑 的 起 源 根植 于 哲学 ， 但 PnueliLPnu77] 介 绍 了 使 用 线性 时 序 逻 辑 来 表示 
反应 式 系 统 的 形式 化 需求 。 随 后 ， 对 时 序 逻 辑 的 许多 变 体 的 表示 和 决策 程序 的 研究 也 随 之 
展开 (参考 LEme90] 对 它 的 理论 基础 的 综述 )。 规 约 语言 PSL 是 硬件 设计 的 商业 工具 所 支持 
的 工业 标准 LEF06]( 也 可 参考 硬件 描述 语言 VERILOG 中 的 规约 LBKSY12]) 。 
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模型 检查 的 概念 是 在 LCE81] 和 [QS82] 中 提出 的 ， 是 在 检查 有 限 状态 协议 的 分 支 时 间 
时 序 属 性 的 背景 下 提出 来 的 ， 在 学 术 界 和 工业 界 得 到 了 相当 大 的 关注 (参考 教材 LCGP00] 
和 [BK08] 的 介绍 ，2009ACM 图 灵 奖 的 讲稿 关于 其 影响 的 概述 LCES09]) 。 

在 关于 一 元 二 阶 逻辑 的 判断 程序 的 背景 下 ，Biichi 引入 了 关于 无 限 路 径 的 自动 机 
[Biic62]( 参 考 [Tho90] 对 这 种 自动 机 的 综述 )。 从 LTL 到 Büch 自动 机 的 转换 出 现在 
[VW86] 中 ， 并 由 此 产生 了 基于 自动 机 理论 的 模型 检验 方法 。 图 5-11 中 的 坎 套 深度 优先 搜 
索 算 法 在 LCVWY92] 中 介绍 。 模 型 检验 工具 SPIN[Hol04] 包 括 这 些 技术 最 新 的 实现 。 

图 5-14 中 的 符号 竺 套 不 动 点 计算 在 LBCD+ 92，McM93] 中 介绍 ， 并 且 模 型 检查 工具 
NUSMV 支持 这 种 技术 LCCGR00]。 ` 

建立 迁移 系统 活性 属性 的 证 明 规则 最 早 在 [MP81] 中 研究 (也 可 参考 [Lam94] 和 并 得 到 
验证 工具 TLA 十 的 支持 LLam02]) 。 
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诸如 调整 室内 温度 的 恒温 器 或 者 跟踪 及 维持 汽车 速度 的 巡航 控制 器 ， 都 是 通过 传感器 
及 作 动 器 与 物理 环境 进行 交互 。 关 于 物理 环境 的 相关 信息 对 应 于 一 些 遵 守 物 理 定 律 并 随时 
间 变 化 的 物理 变量 ， 例 如 ， 温 度 、 压 力 、 速 度 。 因 此 ， 控 制 系统 的 设计 及 分 析 需 要 构建 物 
理 系统 的 模型 。 本 章 涉及 动态 系统 的 连续 时 间 模 型 。 连 续 时 间 模 型 在 控制 系统 理论 中 有 很 
详细 的 研究 。 本 章 的 目的 是 简单 介绍 控制 系统 理论 中 的 一 些 核心 概念 。 


6.1 连续 时 间 模 型 
6.1.1 连续 变化 的 输入 和 输出 


控制 系统 的 典型 架构 如 图 6-1 所 示 。 用 称 为 被 控 对 象 (plant) 的 构件 来 对 被 控制 的 物理 
世界 建 模 。 控 制 器 通过 作 动 器 来 影响 被 控 对 象 的 演化 过 程 ， 但 来 自 环 境 中 的 不 可 控 因 
素 一 一 扰动 也 会 影响 被 控 对 象 的 演化 过 程 。 控 制 器 对 来 自用 户 的 命令 ， 称 为 参考 输入 做 出 
响应 并 根据 及 传感器 提供 的 被 控 对 象 的 测量 数据 做 出 决策 。 例 如 ， 在 恒温 器 设计 中 ， 被 控 
对 象 是 需要 对 其 温度 进行 控制 的 房间 。 传 感 器 是 测量 当前 温度 的 温度 计 ， 控制 器 的 任务 是 
调整 温度 使 其 接近 恒温 器 设 定 的 参考 温度 。 控 扰动 
制 器 可 以 通过 调整 火炉 散发 的 热量 来 影响 温度 。 
在 这 个 例子 中 ， 被 控 对 象 模型 需要 捕捉 室内 温 
度 与 火炉 热量 、 室 外 与 室内 环境 温度 的 差 值 之 
间 的 函数 关系 ; 其 中 ， 室 外 与 室内 环境 温度 的 参考 输入 
差 值 是 图 6-1 中 所 示 的 加 在 被 控 对 象 上 的 扰动 。 

动态 系统 的 模型 也 可 以 使 用 方 框图 方便 地 图 6-1 控制 系统 的 方 框图 
描述 为 具有 相互 连接 的 输入 /输出 接口 的 构件 ， 计 算 的 基础 模型 与 第 二 章 中 描述 的 同步 交 
互 式 构件 有 一 个 本 质 区 别 : 虽然 同步 交互 式 构 件 的 变量 的 值 是 在 一 系列 离散 逻辑 循环 中 更 
新 的 ， 但 动态 系统 的 变量 值 随 着 时 间 的 推移 连续 更 新 。 我 们 把 这 种 构件 称 为 连续 时 间 构 
件 ， 通常 取 具 备 指定 测量 单位 的 一 定 间隔 内 的 闭合 实数 集 作 为 这 类 变量 的 取 值 范围 。 例 
如 ， 汽 车 的 速度 v 可 以 建 模 为 在 0 一 150 英里 /小 时 的 间隔 内 的 实数 变量 。 在 我 们 的 动态 系 
统 的 规约 中 ， 我 们 假定 每 个 变量 都 为 real 类 型 ， 但 没有 明确 指出 变量 的 取 值 范围 。 

信号 

随时 间 变 化 的 变量 的 值 可 以 描述 为 从 时 间 域 到 real 的 函数 。 这 种 从 时 间 域 到 实数 集 
合 的 函数 称 为 信号 。 我 们 将 从 始 至 终 假 定时 间 域 包括 非 负 实数 集合 ， 并 且 将 其 标记 为 
time。 对 于 变量 z， 工 上 的 信号 是 (对 于 在 time PRT OAS z 分 配 一 个 实数 值 
的 函数 ， 表 示 为 工 ， 因 此 ,， 工 (0) 表 示 在 时 间 0 变量 z HA, WBN tt. FORME 
时 间 上 变量 z 的 值 。 

给 定 一 个 变量 集合 V，V 上 的 信号 V 作为 时 间 函 数 将 值 分 配给 集合 V 中 的 所 有 变量 。 
RRA V ARR 个 变量 ,那么 集合 V 上 的 信号 是 从 时 间 域 time 到 由 实数 构成 的 元 组 
或 者 real 矢量 的 函数 ;变量 的 数量 & 称 为 信号 的 维度 。 或 者 ， 一 个 & 维 信号 可 以 看 作 一 





动态 系统 143 





维 信号 的 元 组 ， 元 组 的 每 个 元 素 对 应 于 集合 V 中 的 一 个 变量 。 

由 于 信和 号 的 域 和 范围 由 实数 或 者 矢量 构成 ， 所 以 我 们 可 以 使 用 实数 的 欧 几 里 得 距离 的 
标准 概念 或 者 其 他 的 满足 度量 的 经 曲 性 质 的 测 距 概念 来 测量 两 个 量 之 间 的 距离 。 对 两 个 矢 
量 和 vw， 用 符号 |u 一 v| 表 示 两 者 之 间 的 距离 ， 用 符号 上 vl 表示 矢量 v 相对 原点 0 之 间 的 
距离 。 现 在 ,把 标准 数学 定义 中 的 连续 性 、 可 微 性 概念 应 用 于 信号 中 。 例 如 ， 如 果 对 于 所 
有 的 时 间 值 tE time, HFA >00, FE 8 之 0， 使 得 对 于 所 有 的 时 间 值 六 Etime， 如 
R\le—c' |<o, WIVoO-Va) |<e 成 立 ， 则 信号 六 是 连续 的 。 


例子 : 热流 
作为 第 一 个 例子 ， 图 6-2 显示 了 一 个 连续 时 间 构 件 NetH- 天 
eat， 该 构件 有 两 个 输入 变量 hi 与 (分 别 代表 热流 人 量 与 hag =h,—h_ {Poe 


热流 出 量 ， 一 个 输出 变量 h, (代表 净 热 流量 )。 构 件 NetHe- A 
at 是 从 两 个 输入 信号 到 一 个 输出 信号 的 映射 ， 它 的 动态 方程 图 6-2 连续 时 间 构件 NetHeat 
表示 如 下 :> 
Ayer = hy h- 

它 说 明 ， 在 每 个 时 刻 +， 输 出 变量 及 ,的 值 等 于 表达 式 heh- A. SE A EEE hy 的 信 
号 hh 和 输入 变量 h- 的 信号 h- ， 输 出 变量 hoe 的 输出 信号 hs 定义 为 hset C) =h (4) —h- (2) 
(对 于 在 time 中 的 所 有 时 间 )。 这 个 唯一 的 输出 信号 称 为 构件 对 输入 信号 h+ 与 h- 的 响应 。 
如 果 输 入 信号 是 连续 的 ， 那 么 输出 信号 也 是 连续 的 。 

注意 ， 基 于 输入 值 的 输出 值 的 计算 可 以 用 (代数 ) 方 程 的 陈述 式 来 表示 ， 而 不 是 赋值 语 
句 的 操作 式 。 确 实 ， 在 控制 系统 建 模 中 ， 这 样 的 陈述 式 描 述 是 一 种 规范 ， 因 为 模型 主要 用 
于 以 精确 的 数学 方式 来 表示 各 个 信号 之 间 的 关系 ， 以 便 对 它们 进行 分 析 。 

例子 : 车 的 运动 

构件 NetHeat 是 没有 状态 的 。 在 本 例 将 描述 状态 连续 时 间 构 件 ， 该 构件 对 车 速 如 何 
随 引 擎 施加 给 车 的 力 建 模 。 为 了 设计 巡航 控制 器 ， 需 要 做 一 些 简化 的 假设 。 尤 其 是 ， 我 们 
假定 轮子 的 转动 惯量 可 以 忽略 ,车 受到 的 摩擦 力 与 车 速成 正比 。 施 加 给 车 的 力 如 图 6-3 所 
Ro WR 表示 车 的 位 置 ( 相 对 于 惯性 参考 系 进行 测量 的 )，F 表示 施加 到 车 上 的 力 ， 那 么 
根据 经 典 的 牛顿 运动 定律 ， 我 们 可 以 得 到 描述 车 动力 学 的 微分 方程 : 


F—ki =m 


realy, Sx < xy; 
Vv 


. v 
x=; 
图 6-3 用 连续 时 间 构 件 对 车 的 运动 建 模 


这 里 代表 摩擦 力 的 系数 ，m 代表 车 的 质量 。 量 z 代表 将 值 赋 给 位 置 变量 z 的 信号 的 
一 阶 时 间 导 数 ， 因 此 这 个 量 表示 车 的 速度 。 同 样 ， 变 量 工 表示 信号 的 二 阶 时 间 导 数 ， 即 
车 的 加 速度 。 

6-3 的 连续 时 间 构 件 模型 Car 对 运动 方程 建 模 。 它 使 用 两 个 状态 变量 : 变量 x Hi 
车 的 位 置 ， 变 量 ， 描述 车 的 速度 。 我 们 需要 对 构件 中 的 每 一 个 状态 变量 赋予 初始 值 ， 在 本 
例 中 ， 变 量 z 的 初始 值 通过 约束 zz 委 z 委 zu 来 说 明 ， 其 中 zu、zi 分 别 代表 初始 值 的 上 限 
常量 、 下 限 常量 。 初 始 化 的 说 明 性 规约 等 价 于 第 2 章 中 讨论 的 使 用 choose 结构 的 非 确定 








234 


144 BOF 





性 赋值 : real x *=choose{z|z,Sz<ay}, KWH, RE v MMe ewtAR v,<v< 
vu 来 说 明 ， 其 中 oy. up PBR Ae) OR EY LE BR A a SP BR 

对 于 每 个 状态 变量 ， 通 过 说 明 状 态 变 量 值 的 一 阶 时 间 导 数 作为 输入 变量 和 状态 变量 的 
函数 来 描述 动态 性 。 微 分 方程 av 表示 在 每 个 时 刻 +:， 状 态 变量 r 的 变化 率 等 于 在 时 刻 t 
状态 变量 wv 的 值 ， 并 且 在 每 个 时 刻 t 状态 变 量 v 的 变化 率 等 于 在 时 刻 表达 式 (F 一 kv)/m 
的 值 。 这 两 个 方程 一 起 等 价 于 原始 方程 一 kx 二 mm XY 。 汽 车 的 输出 是 它 的 速度 。 对 于 每 个 
输出 变量 ,构件 将 输出 变量 作为 输入 变量 和 状态 变量 的 函数 。 本 例 中 ,输出 简单 地 等 于 状 
态 变量 v。 

为 了 说 明 这 个 模型 的 行为 ， 我 们 假定 车 的 初始 位 置 为 zx ， 初 始 速度 为 wv。 现在 考虑 
当 施 加 到 车 上 的 力 下 一 直 等 于 kv。 的 情况 。 那 么 在 任意 时 刻 车 的 位 置 及 速度 ， 可 以 通过 求 
解 如 下 的 微分 方程 组 获得 : 

六 = 
初始 条 件 为 均 (0) 二 x。、w(0) 二 vw。。 这 些微 分 方程 有 唯一 的 解 ， 速度 在 任意 时 刻 始 终 保持 值 
ww 不 变 ， 根据 表达 式 zo 十 two 距离 zx 随 着 时 间 t 线性 增长 。 换 句 话 说 ， 给 定 ( 常 数 ) 输 入 信号 
F(z) 二 kv。 和 初始 状态 (zo。，vo。)， 描 述 状 态 / 输 出 变量 v 的 动态 性 的 对 应 信号 由 v(t) 二 ww 
给 出 ， 描 述 状 态 变 量 z 动态 的 信号 由 (2) 二 zo 十 two 给 出 。 

接 下 来 ， 让 我 们 考虑 第 二 种 情况 : 施加 到 车 上 的 力 下 在 任意 时 刻 都 为 0， 车 的 初始 位 
置 为 0， 初 始 速度 为 v。。 那 么 在 任意 时 刻 车 的 位 置 x 及 速度 v 可 以 通过 求解 如 下 的 微分 方 
程 组 获得 

Z=v; &=—kvo/m 
初始 条 件 为 (0) 二 0 和 50) 三 名 。 使 用 微 积分 的 运算 规则 ， 可 以 求解 这 些 方 程 ， 产 生 对 应 
于 下 式 给 出 的 车 的 位 置 和 速度 的 信号 : 
DO ve mw, ZO) = Cmo EL a] 
注意 ， 速 度 按 照 指数 递 减 收敛 于 0 位置 递 减 收 敛 于 值 mvo/k。 

第 三 种 情况 ,假定 初始 位 置 及 速度 都 为 0， 施 加 给 车 的 力 为 常量 F,。 那 么 车 的 位 置 x 

和 速度 v 可 以 通过 求解 如 下 的 微分 方程 组 来 获得 

z= wv; 0 = (Kh —ko)/m 
初始 条 件 为 (0) 二 0 和 0) 二 0。 如 果 假 定 车 的 质量 为 1000kg， 轮 胎 与 路 面 之 间 的 摩擦 系 
数 & 为 50， 施 加 给 车 的 力 Fo 为 500N， 那 么 与 速度 相应 的 信号 如 图 6-4 所 示 。 速 度 递 增收 
SFE Fy, /k=10m/s, 

连续 时 间 构 件 的 定义 

通常 ， 用 约束 Init 来 指定 状态 变量 的 初 
始 值 ， 典 型 的 情况 是 指定 每 个 变量 的 可 能 取 值 
范围 。 按 照 惯 例 ， 用 [LInit] 指 定 初始 状态 的 集 
合 ， 即 满足 Init 指定 的 约束 的 状态 集合 。 

构件 的 动态 性 由 如 下 来 说 明 : 1) 每 个 输 
出 变量 y 的 实 值 表达 式 h,; 2) 每 个 状态 变 
量 工 的 实 值 表 达 式 f;,。 上 述 的 每 个 表达 式 
都 定义 在 输入 变量 和 状态 变量 上 。 使 用 时 刻 0 


速度 (m/s) 





80 100 120 


oo ae a VIG0 
t 的 状态 变量 和 输入 变量 的 值 对 表达 式 h, 进 时 间 (s) 
行 评估 ， 可 以 得 到 时 刻 t+ 输出 变量 y 的 值 ; 图 6-4 恒定 外 力作 用 下 车 速 的 响应 曲线 
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状态 变量 x 的 信号 应 该 使 得 它 在 时 刻 t 的 变化 率 等 于 使 用 时 刻 t 的 状态 变量 和 输入 变量 的 

值 对 表达 式 f ;进行 评估 的 值 。 因 此 ， 连 续 时 间 构 件 的 执行 类 似 于 确定 性 同步 反应 式 构件 

的 执行 ， 除 了 循环 的 概念 无 穷 小 外 : 在 每 个 时 刻 t+， 该 时 刻 的 输出 值 取 决 于 该 时 刻 的 输入 

与 该 时 刻 构件 的 状态 的 函数 ， 然 后 通过 时 刻 上 输入 和 状态 的 导数 计算 来 指定 使 用 变化 率 更 

新 的 状态 。 ; l 
连续 时 间 构 件 的 定义 总 结 如 下 : 


连续 时 间 构 件 





连续 时 间 构 件 玉 有 实 值 输入 变量 的 有 限 集合 I， 实 值 输出 变量 的 有 限 集合 O， 实 
值 状态 变量 的 有 限 集合 S， 说 明 初 始 状态 集合 [LInit] 的 初始 化 Init， 每 个 输出 变量 yE 
O WSC RISK A, aE MAIER TUS 上 ， 每 个 状态 变量 zxES 的 实 值 表达 式 f ,定义 在 集 
合 IUS 上 。 给 定 定义 在 输入 变量 工 上 的 信号 L， 那 么 构件 H 相应 的 执行 是 定义 在 状态 
变量 S 上 的 可 微 信号 S 和 定义 在 输出 变量 O 上 的 信号 O， 使 得 : 


1) S0) € [Init]. 

2) 对 每 个 输出 变量 y A, VOF A ST 0) AAR ASE ELS (2) E 
行 计算 的 表达 式 h, 的 值 。 

3) 对 每 个 状态 变量 zx 和 时 刻 :， 时 间 导 数 (d/dz) 世 (#) 等 于 使 用 输入 变量 值 1(:) 和 状 
态 变量 值 SCz) 进 行 计 算 的 表达 式 f 的 值 。 


没有 输入 的 连续 时 间 构 件 称 为 封闭 的 。 

响应 信号 的 存在 性 及 唯一 性 

使 用 数学 分 析 确 定 给 定 与 初始 状态 wy 和 给 定 输入 信和 号 相 一 致 的 状态 和 输出 变量 的 信和 号 等 
于 求解 常 微分 方程 组 的 初始 值 问题 。 为 了 保证 这 些 解 的 唯一 性 ， 我 们 需要 对 用 于 定义 状态 和 
输出 响应 的 表达 式 增 加 一 些 限制 ， 因 为 不 是 所 有 的 微分 方程 都 有 解 。 例 如 ， 条 件 微分 方程 : 

£=if(x=0)then 1 else 0 

RHEA OA SH SMA 1, Hh. AAEM ELAR MAS Zz. ER 
的 原因 是 这 个 微分 方程 的 右边 在 r=0 处 是 不 连续 的 。 如 果 这 个 微分 方程 的 右边 是 连续 函 
数 ， 那 么 这 个 微分 方程 的 解 是 存在 的 。 

为 了 说 明 在 求解 微分 方程 时 存在 的 另 一 个 潜在 问题 ， 考 虑 微分 方程 二 zx”。 对 于 初 


始 值 (0) 二 0， 这 个 微分 方程 有 两 个 解 :常量 信号 (1) 一 0 和 信号 (1) 一 (2). 避免 上 


述 问 题 和 确保 微分 方程 解 的 唯一 性 的 传统 的 方式 是 ， 要 求 微 分 方程 的 右边 是 利 普 希 荧 连续 
的 。 直 观 地 ， 利 普 硕 茨 连 续 性 意味 着 函数 的 变化 有 一 个 常量 上 限 : 如 果 存 在 一 个 常量 K， 
使 得 在 空间 real”" 中 的 所 有 矢量 w flv, Al f()—f(v)|<Klu—v|, BARR f: re- 
al’ real" EHNA RER H. 

在 图 6-3 所 示 的 例子 构件 Car P, A 户 等 于 w， 当 它 看 作 从 real 到 real 的 函数 
是 利 普 希 芯 连 续 的 ， 并 且 右 边 的 f, 等 于 (F 一 kv)/m 当 它 看 作 从 read 3 real 的 函数 是 利 
普 希 茨 连续 的 。 

我 们 上 面 刚 提 到 的 微分 方程 的 右边 函数 z ?不 是 利 普 希 茨 连续 的 ， 因 为 其 变化 率 随 着 
变量 z UF 0 无 界 地 趋 于 无 穷 大 。 再 考虑 微分 方程 的 右边 为 二 次 函数 安 的 情形 ， 它 也 不 
满足 利 普 希 茨 连续 条 件 ， 因 为 其 变化 率 随 着 变量 x 趋 于 无 穷 大 而 趋 于 无 穷 大 。 但 是 ， 如 果 
限定 自 变量 z 的 取 值 范围 为 D， 当 然 这 种 限定 在 动态 系统 中 经 常 存 在 ; 那么 当 限 定 的 去 定 
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MBA DT, WHA ALPE A REALE. ARTE MERA PS Bay PG A HG i EH (Cauchy-Lips- 


chitz Theorem), WWMM FOAM, AES=f(S)MSO)=s,, MRM 满足 利 
普 希 蒋 连续 条 件 ， 那 么 上 述 问 题 的 解 信 号 $S 存 在 且 是 唯一 的 。 

我 们 基于 上 述 定理 要 求 在 连续 时 间 构 件 中 ， 定 义 状态 变量 z 的 变化 率 的 表达 式 f, 是 
满足 利 普 希 茨 连续 条 件 函数 。 在 这 种 情况 下 ， 对 于 给 定 的 初始 状态 ， 假 定 输入 信号 是 连续 
的 ， 状 态 信号 是 唯一 定义 的 。 由 于 输出 变量 的 值 是 状态 变量 与 输入 变量 的 函数 ， 所 以 在 这 
种 情况 下 ， 输 出 信号 也 是 唯一 确定 的 。 如 果 定 义 输出 变量 的 表达 式 h, 是 连续 函数 ， 那 么 输 
出 信号 一 定 是 连续 的 。 由 于 在 方 框图 中 ， 一 个 构件 的 输出 可 以 与 另 一 个 构件 的 输入 相连 
接 ， 并 且 可 以 出 现在 构件 定义 中 微分 方程 的 右边 ， 所 以 为 了 确保 解 的 存在 性 及 唯一 性 ， 要 
求 每 个 输出 方程 h, 也 满足 利 普 希 芯 连 续 条 件 。 满 足 这 些 约束 的 构件 (例如 ， 图 6-3 所 示 的 
构件 caz) 称 为 具有 利 普 希 茨 连续 动态 性 。 


利 普 希 茨 连 续 动 态 性 
连续 时 间 构 件 及 有 输入 变量 集合 TI、 输 出 变量 集合 O 以 及 状态 变量 集合 S， 构 件 
五 有 利 普 希 茨 连续 动态 性 ， 如 果 : 





1) 对 于 每 个 输出 变量 y, 定义 在 TUS EW RATA, RAB KER BRM, H 
2) 对 于 每 个 状态 变量 xz， 定义 在 TUS 上 的 实 值 方程 六 是 利 普 希 茨 连续 函数 。 





由 此 得 出 如 果 连 续 时 间 构 件 H 具有 利 普 希 茨 连续 动态 性 ， 那 么 对 于 给 定 的 初始 状态 
及 给 定 的 连续 输入 信号 I， 那么 定义 在 状态 变量 及 输出 变量 上 的 输出 构件 的 解 存在 且 唯 一 。 

例子 : 直升机 旋转 

作为 另 一 个 例子 ， 我 们 考虑 一 个 控制 直升机 防止 其 旋转 的 经 典 问题 。 一 架 直 升 机 有 6 
度 运动 ，3 个 用 于 位 置 ，3 个 用 于 转动 。 在 我 们 简化 的 版 本 中 ， 假 定 直升机 的 位 置 是 固定 
的 且 直 升 机 保持 垂 立 。 那 么 运动 的 唯一 自由 度 是 可 以 绕 着 垂直 轴 (2 轴 ) 的 角度 转动 。 这 种 
转动 称 为 偏 航 (如 图 6-5 所 示 )。 直 升 机 顶部 的 主 旋 辟 的 摩擦 力 导 致 偏 航 角 的 改变 。 为 了 防 
止 机 体 的 偏 航 旋转 ， 尾 部 旋转 辟 提 供 反 向 的 转 矩 来 抵消 上 述 旋转 力 的 影响 。 在 这 种 背景 
下 ， 直 升 机 模型 有 一 个 连续 时 间 输 入 信号 T, RRA Y 轴 旋 转 的 转 矩 。 用 标量 工 对 直升机 


的 转动 惯量 建 模 。 模 型 的 输出 信号 是 围绕 垂直 轴 的 角速度 ， 表 示 为 旋转 ;二 9 ， 其 中 0 是 偏 
航 角 。 那 么 ， 运 动 方程 可 以 表示 为 : 


偏 航 角 


p [eeren], 
ry 


图 6-5 直升机 运动 的 简化 模型 


图 6-5 也 显示 了 相应 的 连续 时 间 构 件 。 构 件 中 只 有 一 个 表示 旋转 的 状态 变量 *， 一 个 
描述 转 矩 的 输入 变量 TT 一 个 等 于 状态 * 的 输出 变量 。 状 态 变 量 的 初始 值 在 区 间 [s su] 


中 ， 状 态 变量 的 变化 率 由 表达 式 于 给 定 。 注 意 这 个 模型 满足 利 普 希 区 连续 条 件 。 


yf 
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间 表 示 。 动 态 性 也 可 以 用 输入 信号 经 过 积分 得 到 的 输出 信号 来 描述 。 例 如 ， 针 对 我 们 的 直 
升 机 模型 ， 在 时 刻 守 的 输出 旋转 的 值 等 于 它 的 初始 值 加 上 输入 转 和 矩 到 时 刻 :上 的 积分 ， 如 下 
积分 方程 所 示 : 


s(t) = so + (+). T(r)dr 


Hp, s 表示 初始 状态 。 注 意 中 间 状态 隐 含 在 积分 式 中 了 。 诸 如 Simulink 这 样 的 建 模 工 
具 还 可 以 对 状态 空间 表示 和 积分 方程 进行 建 模 。 

例子 : BR 

考虑 图 6-6 所 示 的 单 摆 。 在 摆 杆 的 一 端 带 有 一 个 质量 为 痉 的 小 球 ， 男 一 端 是 一 个 旋转 
接头 。 为 了 简单 起 见 ， 假 定 摩擦 力 及 杆 的 重量 可 以 忽略 不 计 。 在 杆 一 端的 支点 处 ， 放 置 了 
一 个 电机 ， 用 来 提供 额外 的 转 矩 以 控制 杆 的 摆动 。 


real [-z, m) Ø := Øo; v= 0 
ġ=v 
ò=- (gll) sin g + u/(m/e?) 





图 6-6 单 摆 及 模型 


根据 适用 于 旋转 物体 的 牛顿 定律 ， 通 过 如 下 的 ( 非 线 性 ) 微 分 方程 来 描述 单 氛 系 统 的 动态 性 : 
ml’ = u—mgésing 
其 中 ，m 代表 物体 的 质量 ，g 王 9. 8m/s 代表 重力 加 速度 ,4 CRRA EE, p KAE 
Em FAAEE YE. u RAGES BT Ey e PB. TERE o 的 范 
围 为 [一 r，z)。 

用 连续 时 间 构 件 对 单 摆 建 模 时 ( 见 图 6-6)， 通 过 引入 一 个 额外 的 表示 单 摆 角 速度 的 状 
态 变 量 w， 可 以 将 上 述 的 二 阶 微分 运动 方程 描述 成 
一 对 一 阶 微分 方程 。 常 量 po 给 出 了 单 摆 的 初始 角 
度 位 置 。 

为 了 更 好 地 理解 单 摆 的 运动 ， 我 们 假定 外 部 的 
转 矩 u 设置 为 0， 杆 的 长 度 为 Im， 初始 角度 位 移 为 
x/4。 那 么 单 摆 的 运动 可 以 通过 如 下 的 方程 描述 : 

p =— 9. 8sing 

g0) = 2/4 
6-7 显示 了 单 摆 的 振荡 结果 ， 图 中 显示 了 角度 
随时 间 变 化 的 曲线 。 图 6-7 单 摆 的 角 位 移 








练习 6.1: 图 6-6 中 的 连续 时 间 构 件 的 动 性 是 对 单 摆 利 普 希 茨 连续 连续 性 建 模 吗 ? 


练习 6. 2: 根据 图 6-6 中 的 单 摆 模 型 。 假 定 外 部 转 矩 为 0。 如 果 初 始 角 位 移 为 一 节 z， 即 从 垂直 向 上 位 置 


稍微 移动 一 点 ， 则 分 析 单 摆 的 运动 。 杆 的 长 度 为 m, 用 MATLAB 绘制 角度 随时 间 变 化 的 
曲线 。 


6. 1.2 扰动 模型 


仍然 以 上 述 的 汽车 运动 模型 为 例 。 图 6-3 中 描述 的 模型 假定 汽车 在 一 维 的 平 路 上 运 
动 。 现 在 我 们 假定 需要 考虑 路 面 的 梯度 : 上 坡 路 时 ， 汽 车 的 重量 对 发 动机 的 推力 产生 消极 


的 影响 ; 下 坡 路 时 ， 小 车 的 重量 对 发 动机 的 推力 _ 位 置 * 


产生 积极 的 影响 (如 图 6-8 所 示 )。 汽 车 的 导航 控 速度 z 
制 器 需要 调整 推力 F 的 大 小 来 维持 车 速 大 小 的 恒 ng 
定 。 我 们 可 以 将 路 面 的 梯度 视 为 额外 的 输入 90，0 摩擦 力 如 2 重力 ms 


表示 相对 于 水 平面 的 路 面 的 角度 : 正 的 角度 表示 
上 坡 路 ， 负 的 角度 表示 下 坡 路 。 在 垂直 向 下 方 
向 ， 小 车 的 重量 为 mg, HP g 二 9. 8m/s 代表 重 ž=v 
力 加 速度 。 图 6-8 还 显示 了 考虑 上 述 变化 的 经 过 Oe gi ea 
修改 的 动态 系统 模型 。 沿 着 路 的 方向 作用 在 汽车 Wes 考虑 路 面 梯 度 的 汽车 运动 模型 
LMA: 发 动机 控制 的 前 向 的 下 ，kw 代表 后 向 的 
摩擦 力 ，mgsin6 代表 沿 着 路 的 重力 。 

图 6-8 中 模型 的 控制 设计 问题 与 图 6-3 中 的 相应 问题 的 主要 区 别 是 : 在 图 6-8 中 对 路 
面 梯度 建 模 的 输入 信号 0 不 受 控 制 器 的 控制 ， 事 先 不 知道 它 的 值 是 多 少 。 这 种 不 受 控 的 输 
入 通常 称 为 扰动 。 应 该 将 控制 器 设计 成 产生 受 控 的 输入 信号 下 使 得 无 论 输入 9 怎样 在 合理 


范围 内 (例如 ， 所 有 值 在 区 间 | -5> +7 | ) 变 化 它 都 工作 。 









F 


6.1.3 构件 构成 


就 像 同步 构件 那样 ， 可 以 用 框图 来 构成 连续 时 间 构 件 。 我 们 可 以 像 第 2 章 中 那样 ， 定 
义 变量 重 命 名 、 输 出 隐藏 、 并 行 组 合 等 操作 。 为 了 确保 确定 性 和 公式 的 组 成 ， 当 组 合 构件 
时 ， 我 们 喜欢 建立 设 有 循环 等 待 依赖 关系 。 采 用 与 同步 构件 一 样 的 方式 定义 输出 变量 关于 
输入 变量 的 等 待 依赖 关系 : 如 果 连 续 时 间 模 型 互 中 在 时 刻 上 的 输出 y 的 值 依赖 于 在 时 刻 t 
的 输入 z 的 值 ， 那 么 输出 变量 y 等待 输入 变量 x。 

对 于 图 6-2 所 示 的 构件 NetHeat， 输 出 变量 As: 同时 依赖 于 输入 变量 hy Ah. AE 
图 6-3 和 图 6-8 中 的 汽车 运动 构件 及 图 6-5 中 的 直升机 运动 构件 ， 在 时 刻 * 的 输出 变量 等 于 
该 时 刻 其 中 一 个 状态 变量 的 值 ， 因 此 不 等 待 任 何 相关 的 输入 变量 。 

在 连续 时 间 构 件 中 ， 由 于 每 个 输出 变量 的 演变 都 可 以 用 一 个 以 状态 变量 和 输入 变量 为 自 
变量 的 函数 表达 式 h, 表 示 ， 所 以 等 待 依赖 关系 可 以 用 简单 的 语法 检查 来 判定 :如果 出 现在 表 
AA h, 中 的 输入 变量 集合 是 J]， 那 么 输出 变量 y 等 待 中 的 变量 但 不 等 待 剩余 的 输入 变量 。 
练习 6.3: 考虑 两 个 连续 时 间 构 件 Hi 和 AL, HPP Hi 包括 一 个 输入 变量 wx、 一 个 状态 变量 z 和 一 个 

输出 变量 v， 构件 再 包括 一 个 输入 变量 v、 一 个 状态 变量 y 和 一 个 输出 变量 w。 假 定 这 两 个 构 
件 都 满足 利 普 希 茨 连续 动态 性 条 件 ， 证 明 这 两 个 构件 的 并 行 组 合成 构件 H |H 也 满足 利 普 希 
茨 连续 动态 性 条 件 。 
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6.1.4 稳定 性 


在 前 面 的 几 章 中 ,我们 研究 了 同步 系统 和 异步 系统 的 安全 性 及 活性 需求 。 动 态 控制 系 
统 也 有 类 似 的 需求 。 例 如 ， 导 航 控制 器 的 安全 性 需求 要 求 车 速 不 能 总 是 低 于 某 最 大 值 ， 活 
性 需求 可 以 要 求实 际 速度 与 预期 速度 的 差 应 该 最 终 接 近 0。 但 是 ， 导 航 控制 器 还 有 新 的 需 
求 ， 也 就 是 输入 值 中 的 微小 扰动 不 应 该 造成 车 速 大 的 变化 。 这 种 只 有 与 连续 时 间 系 统 有 关 
的 需求 称 为 稳定 性 需求 。 我 们 将 首先 定义 动态 系统 的 李 雅 普 诺 夫 稳 定性 概念 ， 然 后 说 明 连 
续 性 时 间 构 件 的 有 界 输入 有 界 输出 稳定 性 的 概念 。 

平衡 

为 了 定义 稳定 性 ， 首 先 我 们 需要 理解 动态 系统 操作 的 平衡 状态 的 概念 。 为 此 ， 我 们 假 
定 系统 是 封闭 的 : 如 果 原 始 系统 有 ， 那 么 通过 设置 输入 信号 一 个 定 值 0( 没 有 输入 ) 来 分 析 
系统 的 稳定 性 。 


考虑 一 个 动态 性 满足 利 普 希 茨 连续 微分 方程 S= FS) 的 闭合 的 连续 时 间 构 件 ， 其 状态 
变量 S 是 z 维 矢量 。 如 果 系 统 中 的 一 个 状态 变量 .满足 方程 f(s,)= 二 0， 那 么 就 说 这 个 状态 
是 平衡 状态 。 对 于 平衡 状态 s,， 常 量 信 号 SC) =s 是 初始 值 问 题 $= fS), SO) =s, 的 
fe, 并且 由 于 这 个 动态 性 满足 利 普 希 芯 连续 条 件 ， 所 以 这 是 唯一 解 。 因 此 ， 如 果 满 足利 普 
希 芯 连 续 条 件 的 系统 的 初始 状态 是 平衡 状态 变量 ;,， 那 么 这 个 系统 的 状态 确保 一 直 保 持平 
WRA. 

考虑 图 6-3 所 示 的 连续 时 间 构 件 car。 设 定 输入 力 下 是 值 为 0 的 常量 信号 ， 那 么 构件 
的 动态 性 由 如 下 式 描述 : 

L=v; v=— kv/m 

当 vw, 二 0 时 ， 状 态 (z,，w,) 是 这 个 系统 的 平衡 状态 ， 当 速度 v= 二 0 时 ,设置 位 置 zx 总 是 等 
Fa, 和 设置 速度 vw 总 是 等 于 0 的 信号 满足 上 面 的 微分 方程 。 相 反 ， 如 果 初 始 速 度 v 不 等 
于 零 ， 那 么 速度 将 以 指数 率 不 断 变化 。 因 此 ， 对 于 输入 信号 F(z) 二 0， 系 统 有 无 限 多 个 形 
如 (zx,，0) 的 平衡 状态 。 

考虑 图 6-6 所 示 的 单 摆 模型 ， 假 定 输 入 转 矩 wx 为 常数 0。 那 么 构件 的 动态 性 可 以 用 下 
式 描述 : 

g=v; v=— gsing/l 

我 们 知道 角 位 移 p 的 取 值 范围 为 [一 r，r)， 在 这 个 范围 内 ， 当 p=0 和 gpg 二 一 x 时， 
sing 二 0。 因 此 ， 这 个 单 摆 系 统 有 两 个 平衡 状态 ， 一 个 是 在 p=0 和 一 0( 对 应 于 单 摆 在 垂 
直 向 下 位 置 ); 一 个 是 在 p=- r 和 w= 二 0( 对 应 于 单 摆 在 垂直 倒立 位 置 )。 

李 雅 普 诺 夫 稳 定性 

考虑 一 个 连续 时 间 构 件 ， 它 的 状态 S En 维 矢量 ， 其 动态 由 利 普 希 菊 连续 微分 方程 
S$ 二 了 (S) 给 出 。 系 统 的 平衡 状态 为 ;.。 我 们 知道 如 果 系 统 的 初始 状态 为 s IMAHT A 
统 状态 演变 可 以 用 常量 信号 5S.(7) 二 s, 描述 。 现 在 假定 初始 状态 受到 轻微 的 扰动 ， 即 选择 初 
始 状态 为 so Eilses Rh. HERES, 是 系统 从 初始 状态 so 开始 的 唯一 响应 。 如 果 
该 信号 在 任何 时 刻 都 与 常量 信号 5, 很 接近 ， 那 么 就 说 该 平衡 状态 的 小 的 扰动 导致 系统 状态 
近似 于 平衡 。 在 这 种 情况 下 , 平衡 s. 是 稳定 的 。 另 外 ， 如 果 状 态 信号 S.,( 恐 随 着 时 间 e Woe 
于 平衡 状态 ， 那 么 系统 最 终 返 回 到 平衡 状态 。 当 这 个 额外 的 收敛 需求 成 立时 ， 就 说 该 平 
衡 状 态 s 是 渐 近 稳定 的 。 
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上 述 关 于 稳定 性 的 概念 ， 在 关于 动态 系统 的 文献 中 通常 称 为 李 雅 普 诺 夫 稳定 性 ， 现 把 
上 述 的 内 容 总 结 如 下 : 





李 雅 普 诺 夫 稳定 性 

考虑 一 个 封闭 的 连续 时 间 构 件 H, CE n 个 状态 变量 S， 动 态 性 由 S= f(S) 来 描述 ， 
其 中 f: real">real" 满 足利 普 希 芯 连续 条 件 。 如 果 有 一 个 状态 s. 使 得 f(s.) =0 成 
立 ， 那 么 就 说 这 个 状态 s. 是 构件 H 的 平衡 状态 。 给 定 初始 状态 为 so Creal’, SRV 
始 状态 so 下 构件 H 的 唯一 响应 为 S,: time real”. 


e 如 果 对 于 每 个 :二 0， 存 在 一 个 3 二 0 使 得 对 于 所 有 状态 ss ， 如 果 在 任意 时 刻 1 二 0 
WE lse s< BA|S.—s.|\<e 成 立 ， 则 就 说 互 的 平衡 状态 s 是 稳定 的 。 

o WR 的 平衡 状态 s. 是 稳定 的 ， 且 存在 一 个 3 二 0， 使 得 对 于 所 有 状态 sos WR 
上 .一 s, 过 6， 那么 极限 Lim S, (1) 存 在 且 等 于 s%， 那 么 就 说 该 H 的 平衡 状态 *。 


是 渐 近 稳定 的 。 


重新 考虑 图 6-3 所 示 的 连续 时 间 构 件 car， 将 输入 力 下 设置 为 常量 0， 我 们 已 经 说 明 
对 于 每 个 选择 的 zx.， 位 置 r=, WE v=0 的 状态 是 平衡 状态 。 假 定 我 们 扰动 这 个 平衡 ， 
即 考 虑 从 初始 状态 为 (zx 二 vw) 开始 的 构件 的 行为 ， 使 得 距离 上 (zx。，0) 一 (zx。，wv,) FR. Hi 
据 微 分 方程 二 一 kv/m， 汽 车 的 速度 将 慢 下 来 从 初始 速度 w 收敛 于 0。 汽 车 的 位 置 将 收敛 
于 某 个 位 置 zr， 它 是 初始 位 置 c 和 初始 速度 wv 的 函数 : zj 二 zo 十 mv,/k。 因 此 ， 对 于 产 
AMS, (AGO, 韦 (2)) 一 (z。，0)| 是 有 界 的 。 因 此 , 平衡 状态 (x.，0) 是 稳定 的 。 
但 是 ， 它 不 是 渐 近 稳定 的 ， 因 为 沿 着 这 个 信号 ， 随 着 时 间 的 前 进 ， 位 置 没有 收敛 于 c M 
是 收敛 于 不 同 的 值 zr。 

现在 考虑 图 6-6 的 单 摆 ， 其 输入 信号 zx 的 值 设置 为 常量 0。 该 系统 jg 二 v; v= 二 一 gsing/l 
有 两 个 平衡 状态 :(g 二 0，v 二 0) 和 (gq 二 一 x，v= 二 0)， 后 者 对 应 于 垂直 倒立 位 置 ， 是 不 稳定 
的 ;如 果 单 摆 一 旦 稍微 偏离 垂直 向 上 位 置 ， 角 速度 六 将 持续 递增 ， 从 而 递增 角 位 移 pg， 使 
单 摆 远 离 垂 直 位 置 。 相 反 ， 平衡 状态 (pg 二 0，v 二 0) 对 应 于 垂直 向 上 位 置 ，( 见 图 6-7 的 代 
表 行为 ) 是 稳定 的 。 例 如 ， 如 果 设 置 初始 角 为 小 的 正 值 ， 那 么 角速度 将 是 负 的 ， 从 而 导致 
角 递 减 回 平衡 状态 值 0。 单 控 将 围绕 平衡 位 置 振荡 ， 如 果 初 始 扰 动 是 (gp。，v,)， 那 么 
| 上 (g(t)， 吉 (2)) 一 (0，0) 川 的 值 是 有 界 的 ， 该 界限 依赖 于 o Mv. 的 值 。 在 该 模型 中 ， 平 
衡 不 是 渐 近 稳定 的 : 例如 ， 如 果 初 始 位 置 是 es， 初始 角速度 是 0， 那么 单 摆 会 围绕 垂直 位 
置 在 e 到 一 e 之 间 不 停 地 摆动 。 当 然 ， 实 际 中 ， 由 于 存在 阻尼 效应 (该 模型 没有 考虑 阻尼 效 
应 )， 所 以 这 样 的 单 摆 渐 近 收敛 于 垂直 停 下 来 。 

输入 /输出 稳定 性 

李 雅 普 诺 夫 稳 定性 的 概念 建立 在 动态 系统 的 状态 空间 表示 上 ， 且 只 考虑 输入 信号 为 零 
且 状 态 偏离 平衡 状态 时 系统 的 行为 。 稳 定性 的 另 一 种 概念 把 动态 系统 看 作 一 个 变换 器 ， 将 
输入 信和 号 映射 为 输出 信号 ， 并 且 要 求 输入 信和 号 的 微小 变化 只 会 导致 输出 信号 的 微小 变化 。 
下 面 给 出 输入 /输出 稳定 性 概念 的 形式 化 定义 。 

一 个 定义 在 时 域 上 的 实 值 信号 如 果 满 足 在 任意 时 刻 t 下 ， 都 存在 一 个 常量 A 使 得 条 
fF \|z() ||<A 成 立 ， 那 么 该 信号 被 称 作 是 有 界 的 。 下 面 是 一 些 典 型 信号 的 有 界 性 分 析 : 

eM FRE a, T0)=a 定义 的 常量 信号 是 有 界 的 。 

o 对 于 常量 值 a Mb>0, F)=atbe 定义 的 线性 递增 信号 是 无 界 的 。 





动态 系统 151 





o 对 于 常量 值 a 和 65 宝 0，z(t)= 二 a 十 定义 的 指数 递增 信和 号 是 无 界 的 。 

o 对 于 常量 值 a Mb>0, F)=—ate “定义 的 指数 递减 信号 是 有 界 的 。 

e GFHE n. a b, TO= (OS 定义 的 阶 路 信号 是 有 界 的 。 

btto) 

e 对 于 常量 a Mb, TO) =acosbt 定义 的 正弦 信和 号 是 有 界 的 。 

如 果 对 应 于 集合 V 中 每 一 个 变量 z 的 信号 的 构件 都 是 有 界 的， 那么 定义 在 变量 集合 V 
上 的 信号 是 有 界 的 。 

在 稳定 系统 中 ， 当 在 初始 状态 so 二 0 启动 时 ， 只 要 输入 信号 是 有 界 的 ， 那 么 作为 响应 
由 构件 产生 的 输出 信号 也 是 有 界 的 。 输 入 信号 与 输出 信号 的 界限 是 不 同 的 。 这 种 稳定 性 的 
特殊 形式 化 称 为 有 界 和 输入 有 界 和 给 出 (BIBO) 稳 定性 。 


BIBO 稳定 性 
一 个 满足 利 普 希 茨 连续 条 件 的 连续 时 间 构 件 互 ， 它 有 输入 变量 到 输出 变量 O。 如 


果 对 于 每 个 有 界 的 输入 信号 T[， 由 该 构件 H 在 初始 状态 so =0 开始 响应 输入 信号 I 产生 
的 输出 信号 O 也 是 有 界 的 ， 那么 就 称 该 构件 是 有 界 输入 有 界 输出 稳定 性 。 


考虑 图 6-5 所 示 的 直升机 模型 : 
i=T/I 
假定 初始 旋转 角 为 0。 假 设 系统 的 转 矩 为 常量 T,。 那 么 ， 旋 转角 ; 的 变化 率 是 常量 ， 旋 转 
角 线 性 递增 ， 因 此， 系统 是 不 稳定 的 ; 输入 信号 是 有 界 常量 函数 T(t) 二 T。， 对 应 的 输出 
信号 由 无 界 函 数 S(t) —(T, / Dt KR. 
$516.4: 考虑 图 6-8 中 在 有 梯度 的 路 面 上 运动 的 汽车 。 假 定 输入 力 下 在 任意 时 刻 都 等 于 0， 路 面 的 梯度 
0 为 常量 5 度 。 那么 该 动态 系统 的 平衡 点 是 多 少 ? 
练习 6.5: 考虑 一 个 二 维 动态 系统 ， 其 动态 方程 如 下 所 示 : 
ŝi = 35, +482; 5: = 2s +s 
找 出 该 系统 的 平衡 点 。 对 于 每 个 平衡 状态 ， 分 析 该 平衡 是 否 是 渐 近 稳定 的 、 稳 定 但 不 是 渐 近 
稳定 的 ， 或 不 稳定 的 。 
练习 6. 6; 考虑 一 个 动态 系统 ， 其 动态 方程 如 下 所 示 : 
£=>2° —z 
找 出 该 系统 的 平衡 点 ， 对 于 每 个 平衡 状态 ， 分 析 该 平衡 的 类 型 是 否 是 渐 近 稳定 的 ， 稳 定 但 不 
是 渐 近 稳定 的 或 不 稳定 的 。 
练习 6.7" : 图 6-9 所 示 的 音 又 ， 当 被 锤子 贡 击 一 下 后 ， 音 又 会 在 垂直 位 置 处 wa 
振荡 ， 产 生 相应 音调 的 声音 。 不 考虑 摩擦 力 的 影响 ， 音 叉 一 旦 振 “位 移 * 
动 就 将 一 直 持续 下 去 ， 产 生 音乐 。 用 工 代 表 在 水 平方 向 上 音叉 的 
位 移 ， 在 垂直 方向 上 ， 音 又 受到 的 回复 力 与 位 移 成 正比 ， 其 运动 
方程 为 : 
mi =— kr 
其 中 , 是 由 音叉 性 质 决定 的 常量 。(a) 设 计 一 个 描述 该 动态 性 的 连 
续 时 间 构 件 ， 使 用 合适 的 状态 空间 表示 进行 描述 。(b) 假 定 初始 位 
移 为 (0) 二 zs， 求解 响应 信号 TOA. ORAM MOO 音叉 的 振动 
什么 ?对 应 每 一 个 平衡 点 ， 分 析 平衡 点 是 渐 近 稳定 的 、 稳 定 但 不 是 渐 近 稳定 的 或 不 稳定 的 。 


6.2 线性 系统 
当 连 续 时 间 构 件 的 动态 性 可 以 由 线性 表达 式 进 行 表示 时 ， 关 于 系统 行为 的 一 些 问题 可 
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以 通过 数学 分 析 的 方法 来 解决 。 


6.2.1 线性 度 


变量 集合 的 线性 表达 式 是 由 数字 常量 加 法 和 乘法 运算 形成 的 。 如 果 变 量 为 zl: ，zz ，… 
zi， 那么 线性 表达 式 应 该 具有 形式 aya, ta: Hr: tetat, 其 中 系数 ay, a, a, 可 以 
为 实数 、 有 理 数 或 者 整 型 常量 。 当 用 于 描述 状态 和 输出 变量 的 动态 性 的 表达 式 是 线性 表达 
式 时 ， 线 性 系统 是 连续 时 间 构 件 。 


线性 系统 
连续 时 间 构 件 互 具有 输入 变量 IT、 输出 变量 O 和 状态 变量 S。 称 该 构件 是 线性 构 
件 ， 如 果 : 


1) 对 于 每 个 输出 变量 y, KAN h, 是 定义 在 变量 IUS 上 的 线性 表达 式 ， 且 
2) 对 于 每 个 状态 变量 zx， 其 表达 式 f 是 定义 在 变量 TUS 上 的 线性 表达 式 。 











在 上 述 例子 中 ， 图 6-2、 图 6-3 及 图 6-5 中 的 构件 是 线性 构件 。 图 6-8 中 的 有 梯度 路 面 
上 的 汽车 模型 由 于 存在 非 线 性 项 mgsin6， 所 以 它 是 非 线性 系统 。 然 而 ， 注 意 输 入 9 是 不 
受 控 的 ， 只 代表 控制 器 必须 处 理 的 扰动 或 噪声 。 因 此 ， 我 们 可 以 用 另 一 个 变量 & 代替 输入 
0， 这 表示 d 可 以 表示 表达 式 mgsind 的 值 。 现 在 系统 的 动态 方程 变 为 2 二 (F 一 ku 一 d)/m， 
是 线性 的 。 对 于 新 的 变量 d 输入 扰动 的 取 值 范围 从 [一 x/6， 十 x/6j 变 为 [mgsin( 一 x/6)， 
mgsin( 十 x/6)]。 对 于 图 6-6 的 单 摆 模 型 ， 动 态 性 用 微分 方程 p =(— g/l) singt+u/ 
(mH, AEH EEE A HE HY 

nn 个 变量 的 线性 表达 式 定 义 了 一 个 从 real’>real 的 函数 ， 该 函数 满足 利 普 希 茨 连 
续 条 件 ( 见 练习 6. 8) 。 因 此 ， 每 个 构件 都 满足 利 普 希 茨 连续 条 件 。 

值得 注意 的 是 ， 表 达 式 az 十 6(b 二 0) 是 非 线性 的 ， 因 此 用 工 =cz 十 0 描述 的 一 维 动态 
系统 是 非 线性 构件 。 在 控制 论 的 文献 中 ， 具 有 常量 的 表达 式 ar Harz: 十 十 az 十 an 
叫 作 伪 射 表达 式 。 具 有 仿 射 动态 性 的 特殊 量 是 时 间 本 身 ， 因 为 时 间 可 以 用 动态 性 三 1 对 
变量 t 建 模 ， 然 后 时 间 变 量 t 可 以 放 于 微分 方程 的 右边 ， 用 来 定义 其 他 状态 变量 的 动态 性 
(例如 ， 微 分 方程 zt 表示 状态 变量 xz 随时 间 的 演化 )。 本 章 中 所 用 的 分 析 技 术 主 要 关注 
线性 系统 ,但 它们 中 的 一 些 也 可 以 扩展 用 于 分 析 仿 射 系统 。 

基于 矩阵 的 表示 

矩阵 表示 是 表示 线性 系统 动态 特性 的 传统 形式 。 考 虑 一 个 线性 构件 ， 它 具有 闷 个 输入 
变量 IS {u, un) n ARERR SS {ts tn) k 个 输出 变量 O = {yi aa Ve 在 这 
种 情况 下 ， 可 以 把 输入 视 为 m 维 矢量 、 状 态 视 为 n 维 矢量 、 输 出 视 为 k 维 矢量 。 系 统 的 动 
态 性 可 以 通过 具有 实数 值 系 数 的 4 个 矩阵 来 描述 : 矩阵 4 din Xn HEN, EE B Æ nXm 
HEN), ERE CHER Xn HEN, SRE DER Xm 维 的。 动态 性 通过 如 下 的 方程 来 描述 : 

S=AS+BI, O=CS+DI 
也 就 是 ， 对 于 每 个 状态 变量 x;， 用 以 状态 变量 及 输入 变量 为 自 变 量 的 线性 微分 方程 对 其 状 
态 变 量 的 变化 率 进行 建 模 : 
i EA + Biya, -tt Bon 
对 于 每 个 输出 变量 y;， 其 值 用 关于 状态 变量 及 输入 变量 的 线性 表达 式 进行 定义 : 
95 = Cati +o Gr + Dm Fe + Dp tn 
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在 图 6-3 中 的 汽车 模型 中 ， S={x, v}, I={F}, 0 二 {zx}。 因 此 n=2, wak= 1 其 
动态 性 可 以 重新 写 为 : 


z= 0zxz+1v+0F 
: = 0x + —k/m)v+ (1/m)F 
v=0z+1v+0F 


矩阵 为 ; 
0 1 0 
A= ; B= ; C=O Dy D= ) 
f spel fiyl 
线性 响应 
我 们 已 经 基于 构件 的 状态 空间 表示 定义 了 构件 的 线性 度 。 另 外 ， 和 构件 的 线性 度 还 可 以 
基于 从 输入 信号 空间 到 输出 信和 号 空间 之 间 的 变换 特性 来 定义 。 
考虑 一 个 满足 利 普 希 茨 连续 动态 性 的 连续 时 间 构 件 五， 它 有 一 个 输 大 变量 工 和 一 个 输 
出 变量 y。 设 定 系统 的 初始 状态 为 原点 ， 即 x==0 的 状态 。 给 定 输 入 信号 工 : time 一 real， 
有 一 个 唯一 的 输出 信号 y: time -~ real, y 对 应 构件 昌 从 初始 状态 出 发 ， 在 输入 信号 式 
下 的 执行 。 这 样 ， 连 续 时 间 构 件 是 一 个 把 输入 信号 集 映射 为 输出 信号 集 的 函数 ， 对 于 线性 
构件 这 种 变换 一 定 是 线性 的 。 变 换 的 线性 度 表示 如 下 的 两 个 特性 : 
e 缩放 : 如 果 输 入 信号 缩放 一 个 常数 因子 ， 那么 输出 信号 也 缩放 同样 的 常数 因子 。 给 
定 一 个 输入 信和 号 去 及 常数 因子 a， 信 号 az 在 时 刻 t 的 值 为 元 (上 ) 。 那 么 对 于 线性 构 
件 电 ,对 于 所 有 输入 信号 去 及 所 有 常数 因子 a， 如 果 53 是 对 应 于 输入 信号 工 的 输出 
信号 ， 那么 ay 是 对 应 于 输入 信号 a 芯 的 输出 信号 。 
e 可 加 性 : 如 果 输 入 信号 能 够 表示 成 两 个 输入 信号 的 和 ， 那 么 相应 的 输出 信号 也 可 以 
表示 成 对 应 于 构件 输入 信号 的 输出 信号 的 和 。 也 就 是 说 ， 如 果 输 入 信号 2. T T 
使 得 20) =z, +2,0) OO FERNAl DO. FFA WR DY. 1. y 分 别 是 对 应 于 输入 信 
Sz. Tm, T WME AS. BATRA 上 一 定 有 VO=y (O+p ©). 
通常 ， 构 件 有 多 个 输入 和 多 个 输出 变量 ， 我 们 需要 考虑 将 信号 从 时 域 映射 到 实数 值 矢 
量 的 集合 。 在 这 种 情况 下 ， 通 过 矢量 的 和 及 矢量 的 缩放 来 定义 线性 度 。 对 于 定义 在 变量 集 
合 V 上 的 两 个 信号 V 和 V' 及 常量 (a，BE real), AS aV 十 BV 定义 为 在 任意 时 刻 1 将 值 
V(D (Cz) 十 BV (2) (xz) 赋 给 集合 V 中 的 变量 z 的 信号 。 变 换 的 线性 度 通过 下 述 的 定理 进行 
描述 : 
定理 6. 1( 输 入 输出 变换 的 线性 度 ) 假定 线性 构件 HARARE, EEO 3} 
于 所 有 的 输入 信号 I fol, 及 常量 ag，BE real， 如 果 为 响应 初始 状态 为 0 时 的 输入 信号 五 
和 J。， 构 件 吾 生 成 的 输出 信号 分 别 为 O 和 0 ， 那 么 为 响应 初始 状态 为 0 时 的 输入 信号 
al,+8I,, 构件 瑟 产 生 的 输出 信号 为 wOi 十 8O，。 
证 明 : 假定 线性 构件 H 的 动态 性 由 如 下 方程 描述 : 
S=AS+BI, O=CS+DI 
其 中 $ 状态 矢量 、 工 是 输入 矢量 、O 是 输出 矢量 。 假 定 初始 状态 为 0。 
对 于 给 定 的 输入 信号 五 ， 假 定 状 态 响 应 信号 为 S, 及 输出 响应 信和 号 为 O, 。 那 么 我 们 知道 
下 面 的 条 件 必须 成 立 : Si(0) 王 0， 且 对 于 任意 时 刻 2, (d/d) S G) SAS, HBI, MA 
0.<)=CS,@)+DT, (2), 
同样 ， 对 于 另 一 个 输入 信号 了 到， 假设 状态 响应 信号 为 $, 且 输 出 响应 信号 为 0;。 那 么 
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[250] 有 (0) 三 0， 且 对 于 任意 时 刻 2, (d/de)S, (0) =AS,()+BI,@) MO, @)=CS,O+DI,. 
给 定常 量 a， BE real, 定义 信号 I==a 也 十 8 了 = FHS O=a0, +pO;. 根据 线 

性 算术 和 微 积分 的 基本 性 质 ， 可 以 得 出 SC(0) = 二 0， 在 任意 时 刻 t，(d/di) S(t) 二 A Sa) + 

BI@MOWM=CSWM+DI MOAR. Alt, OF MATS. ME H 的 状态 响应 一 

GEASS. ， 输 出 响应 一 定 是 信号 O。 

练习 6. 8: 证 明 线性 表达 式 e=a zi 十 as zs 十 … 十 az 作为 从 real" 到 real 的 函数 ， 满 足利 普 希 茨 连续 
条 件 。 

练习 6.9: 回忆 图 6-8 描述 的 有 梯度 路 面 的 汽车 运动 构件 ， 它 可 以 视 为 有 两 个 输入 变量 力 下 及 扰动 d 的 
构件 ， 微 分 方程 加 二 (F 一 kv 一 d)/m 描述 模型 的 动态 性 。 那 么 根据 线性 系统 的 标准 矩阵 表示 ， 
SRE A, B, C, DASHA? 

练习 6.10: 考虑 图 6-6 所 示 的 单 摆 的 非 线 性 模型 。 设 计 非 线性 系统 的 控制 器 的 经 典 方法 是 线性 化 操作 点 
的 模型 ， 设 计 这 个 线性 化 模型 的 控制 器 ， 并 将 它 用 于 原始 系统 。 对 于 这 个 单 摆 例 子 来 说 ， 感 
兴趣 的 操作 点 是 对 应 于 单 摆 垂 直 位 置 的 p= 二 0。 使 用 事实 : 对 于 很 小 的 p，sinps:*p， 创 建 一 个 
相应 的 单 摆 线 性 构件 模型 。 

练习 6. 11: 考虑 一 个 闭合 线性 构件 旦 。 证 明 该 系统 的 输出 响应 是 初始 状态 的 线性 函数 。 也 就 是 ， 假 设 O 
是 从 初始 状态 so 开始 系统 的 输出 响应 ;-O 是 从 初始 状态 5 开始 系统 的 输出 响应 ， 且 a，pE 
real。 证 明 从 初始 状态 se 十 ps 开始 系统 的 输出 响应 是 信号 a Do H8O: 。 


6.2.2 线性 微分 方程 的 解 


对 于 线性 系统 来 说 ， 有 很 多 分 析 技 术 可 以 用 来 理解 输出 信号 与 输入 信号 之 间 是 如 何 关 


联 的 。 首先， 考虑 线性 微分 方程 $= 二 4S 并 假定 初始 状态 矢量 为 s。。 为 了 求解 该 微分 方程 ， 
我 们 可 以 按照 如 下 的 方式 生成 允 近 方程 解 的 信号 序列 S。，S1…。 
ficou 任意 zt 


bE ts + S,.a(rdr1 m>0 
我 们 可 以 基于 求解 积分 的 数学 运算 求 寻 找 这 些 信号 的 闭合 式 解 : 
SC = 十 | Asode = Sọ + Atso = [I + At ]so 


ERZA, HPA 是 nXn EE, s 是 nX1 的 矢量 , 圭 是 标量 ， 工 是 单位 矩阵 
( 即 ，I;,; 二 1， 如 果 ;一 )， 否 则 为 0) 。 再 重复 计算 一 步 ， 可 以 得 到 ; 


S(t) = s 十 | ACI + Ar]so de = s, + Ats, + A’ (t?/2)s. = [I+ Sie /it ]s 
重复 该 模式 可 以 得 到 ; 

Say = [1+ Spaie’/i! ]so 
TL carer eer CLS 

Sa) = [I+ Dare! /j! so 
我 们 知道 ， 对 于 实数 a， 量 EN: 

e =1+ Da/il 

Jeo. SRE A 的 矩阵 指数 ee 可 以 用 如 下 方程 定义 ， 


e = 1+ >)A’/j! 
j=l 


根据 上 述 的 概念 ， 在 初始 状态 so 下 ， 微 分 方程 $= 二 AS 的 解 为 : 


S) =% e“ so 


可 以 用 相 类 似 的 方法 分 析 带 输入 的 线性 构件 。 考 虑 用 微分 方程 $ 一 AS 十 BI 描述 的 动 
态 系统 。 假 定 初始 状态 矢量 为 s。。 给 定 输 入 信号 TI， 如 下 的 方程 给 出 结果 状态 信号 5: 


S(t) = e“s, +Í A“ BI (r) dr 
o 


AERA S AY GEO NE AY WEE 7 BOC) = C S(2) + DT (2) ERA 1 的 输出 值 ) 计 
算得 出 。 

和 矩阵 指数 

我 们 检查 矩阵 指数 运算 的 定义 : 

é =14+ J A/j! 
对 于 nXn 方 阵 A， 每 一 项 4;/j! 也 是 nXn 方 阵 ， 所 以 和 矩阵 指数 e* 也 是 nXn 方 阵 。 如 果 
我 们 计算 矩阵 ee， 那 么 可 以 通过 将 矩阵 的 每 个 元 素 乘 以 1 很 容易 地 得 到 微分 方程 解 507) 的 
解 中 出 现 的 矩阵 e“. 

很 多 数学 工具 根据 矩阵 A 的 结构 性 质 计算 量 e， 例如， 假定 矩阵 A 是 对 角 矩 阵 ( 即 ， 
每 一 个 矩阵 元 素 A,， 如 果 话 六 则 A,,; = 二 0) 。 我 们 用 w 表示 对 角 和 矩阵 4 中 的 第 i 个 对 角 
元 素 ， 那 么 对 角 矩 阵 及 表示 为 D(a ，ds ，…a,) 。 在 这 种 情况 下 ， 可 以 看 到 ， 对 于 每 个 沪 
矩阵 A’ 也 是 对 角 元 素 为 ai 的 对 角 和 矩阵。 那么 矩阵 es 也 是 对 角 和 矩阵 ， 且 其 第 ;个 对 角 元 素 


为 1 十 DdJai/j!=e%. Auk, 
j=l 


eP sag 0) = Dle „eĉ? pter) 


作为 另 一 个 例子 ， 考 虑 二 维和 矩阵 : 
0 a 
0 3 


可 以 看 到 ， 对 于 和 矩阵 和 A， 矩阵 4? 二 0( 所 有 元 素 均 为 0)。 因 此 ， 


i= 





l a 
“=1+4= | | 
Or a 


通常 ， 当 出 现 AS, RA VBR A 的 无 限 序 列 中 的 第 一 个 & 项 是 非 零 ， 
因此 可 以 得 e 的 显 式 和 矩阵 表示 。 

特征 值 和 特征 矢量 

考虑 使 用 相似 变换 计算 矩阵 指数 的 标准 工具 。 这 种 变换 基于 计算 和 矩阵 的 特征 值 及 特征 
矢量 。 
对 于 一 个 nXn 方 阵 A， 如 果 对 于 标量 4 和 nn 维 的 非 零 的 矢量 x， 方 程 Ax 二 Xx 成 立 ， 
那么 标量 称 为 矩阵 4 的 特征 值 ， 矢 量 x 称 为 矩阵 A 的 相对 于 特征 值 的 特征 矢量 。 一 个 
nXn 方 阵 A ELA n 个 不 同 的 特征 值 ， 其 值 可 以 由 矩阵 A 的 特征 方程 求 得 : 

det(4 一 M1) = 0 

其 中 det 代表 和 矩阵 的 行列 式 。 注 意 ， 当 (4 一 4;) 是 特征 多 项 式 aet(4 一 MT) 的 因子 时 ， 值 )，: 
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是 矩阵 4 的 特征 值 。 
例如 ， 考 虑 二 维和 矩阵 


A, 


I 
”一 一- 
= 
wo Q 


该 矩阵 A, 的 特征 值 是 如 下 方程 的 解 : 


a(t Se 


我 们 知道 一 个 2X2 方 阵 4 BY 47 FE BY WA h RR Ay, A22 — Ai.2 Ar Ait. FA, Fe 
阵 A, 的 特征 值 是 如 下 多 项 式 的 根 : 
(4—A)(8—A) SV A-HA—1) 

RHE, EPEA RPE PS A, =6 和 Xs, 三 1。 为 了 得 到 对 应 于 特征 值 6 的 特征 矢量 六， 
我 们 需要 求解 方程 A1xi 二 6x; 。 如 果 矢 量 x, 的 元 素 为 zn 和 zi;， 那 么 我 们 得 到 了 如 下 的 线 
性 方程 组 : 

4 6 

cae 


Atin +6232 = 623. tu. F 322 = bti 

当 zu 三 3zpz 时 ， 满 足 上 述 方程 组 ， 这 种 形式 的 每 个 矢量 是 对 应 于 特征 值 6 的 特征 矢 
E. Fab, KERKE xn=3 DTC: zi 是 具有 两 行 一 列 的 列 矢量 ， 因 此 它 是 行 向 量 
G 1) 的 转 置 ， 表 示 为 (3 1)")。 通 过 类 似 的 分 析 可 以 得 到 对 应 于 特征 值 ;二 1 的 特征 矢 
E, 特别 地 ，x; 二 (2 一 1)” 是 对 应 的 特征 矢量 。 注 意 ， 上 述 两 个 特征 矢量 x Al x, 是 线 
性 无 关 的 。 这 不 是 巧合 : WR n AFFE A: ， Azs ***A, 都 是 不 同 的 ， RE x, Tzs °y Tn 
是 分 别 对 应 于 这 些 特征 值 的 矢量 ,那么 这 个 矢量 一 定 是 线性 无 关 的 。 

TEE WFR EE A 是 对 角 元 素 为 a; 的 对 角 和 矩阵 ， 那 么 矩阵 4 一 MT 也 是 对 角 元 素 为 a; 一 A 
的 对 角 和 矩阵 。 和 矩阵 A 的 特征 多 项 式 各 个 元 素 (a; 一 4) 的 乘积 。 而 且 ， 对 于 每 个 i， 第 i 个 元 
素 为 1 而 其 他 元 素 为 0 的 矢量 x, 也 满足 方程 Ax; 二 aix,; ， 因 此 这 个 矢量 x, 是 对 应 于 特征 值 
a, 的 特征 矢量 。 例 如 ， 对 于 三 维 对 角 和 矩阵 D(l1，2，1)， 特 征 多 项 式 为 (1 一 A)* (2 一 *)。 因 
此 ， 这 个 三 维 矢 量 的 特征 值 分 别 为 1、2， 在 这 种 情况 下 ， 与 特征 值 1 的 (代数 ) 重 度 是 (因为 
A-I 是 特征 多 项 式 的 因子 )。 矢 量 x= 二 (1 0 OT, x =(O 1 0, x =(0 0 1)7 
是 特征 矢量 ,分 别 对 应 于 特征 值 ]、2、1。 在 这 个 例子 中 ， 所 有 这 些 特征 矢量 都 是 线性 无 
关 的 。 

在 上 述 所 有 例子 中 ， 和 矩阵 有 个 线性 无 关 的 实 值 元素 的 特征 矢量 。 然 而 ， 实 际 上 并 不 
全 是 这 样 ， 下 面 用 两 个 例子 进行 说 明 。 

考虑 二 维 ( 上 三 角 ) 和 矩阵 : 


Ti Ty 

















Tı2 X12 


上 式 对 应 于 


该 矩阵 的 特征 多 项 式 是 (1 一 2)”， 因 此 ， 它 有 1 个 特征 值 1。 这 个 矩阵 的 特征 矢量 形 如 (ae 07, 
其 中 a 为 任意 常量 。 所 有 这 些 特 征 矢 量 都 是 彼此 线性 无 关 的 。 也 就 是 说 ， 二 维和 矩阵 A, 只 
有 一 个 线性 无 关 的 特征 矢量 。 

考虑 二 维 矩 阵 : 


动态 系统 157 


3 
1 0 


KAGE RE Ssh r+. Ri, JEH 没有 实 值 解 。 在 这 种 情况 下 ， 我 们 想 
把 矩阵 解释 为 复数 域 上 的 线性 变换 。 基 于 这 种 解释 ， 和 矩阵 4; 有 两 个 特征 值 j 和 一 7 ， 都 为 
虚数 ( 注 : 纯 虚数 j 是 实数 一 1 的 平方 根 ， 每 个 复数 可 以 表示 为 atb 的 形式 ， 其 中 a 和。 
都 是 实数 )。 在 这 种 情况 下 ， 通 过 求解 方程 Asx 一 jx 得 到 对 应 于 特征 值 j 形 如 (1 7)? 的 特 
征 矢 量 。 

如 果 和 矩阵 4 的 所 有 (复数 ) 特 征 值 为 X11 ，…X4,， 那 么 

det (A—al) = (A — A1)" -e (A— Ap)" 

Hp n ERE A, 的 代数 重度 ， 并 且 m tetan EM, MRAR atbj, 640 
是 矩阵 4 RIE, IARA E K See A a bj 也 一 定 是 矩阵 4 的 特征 值 。 

相似 变换 

考虑 下 式 给 出 的 动态 系统 H: 

S=AS; S(O)=s, 255 

其 中 $ tin 维 的 状态 矢量 ,A 是 n Xn WARE, s MURA. E P Æ n 维 可 逆 实 值 方 
Mm, P ERRER., AI, P PSPP =I, KE S =P S ELRES, CELT 
状态 的 线性 变换 。 注 意 ， 关 系 S$ 王 PS ' 也 成 立 。 ABM J ERP :4P。 当 这 种 关系 成 立时 ， 
我 们 就 说 矩阵 A 与 矩阵 J 是 相似 的 。 

现在 ， 基 于 原始 具有 状态 $ 的 动态 系统 五， 我们 说 明 具 有 状态 S 的 动态 系统 五 "满足 
如 下 的 关系 : 

S’ = (d/dt)(P"S) = P'S = PAS = P> APS’ = JS’ 
线性 变换 系统 H' 的 初始 状态 由 下 式 给 出 : 
BOE PHOS P's, 
这 种 通过 具有 状态 S、 动 态 和 矩阵 4 的 线性 系统 互 得 到 另 一 个 具有 状态 S"、 动 态 和 矩阵 J 的 
线性 系统 五 "的 变换 ， 称 相似 变换 (因为 矩阵 4 ST 是 相似 的 ) 。 注 意 ， 系 统 HH' 的 解 由 下 式 
给 出 : 
S’(t) = er 8’(0) 
这 说 明 原始 系统 H 的 解 由 下 式 给 出 : 
86) = Pe Ps, 

如 果 和 矩阵 了 具备 可 以 使 矩阵 指数 e* 的 运算 更 简便 的 性 质 ， 那 么 它 可 以 用 来 计算 系统 
的 响应 $(t)。 

假定 矩阵 4 RA n 个 线性 独立 的 实 值 特征 矢量 x,，x; ox, Ay 是 对 应 于 特征 矢量 xx; 
的 特征 值 。 选 择 一 个 相似 矩阵 已 ， 它 的 列 矢 量 为 这 些 却 个 特征 矢量 ; 

P=(x X28 XD 

由 于 和 矩阵 忆 的 列 矢 量 是 线性 无 关 ， 所 以 它 的 秩 为 上， 并 且 它 是 可 闭 的 。 注 意 ， 和 矩阵 卫 
的 第 i 列 是 特征 矢量 x;。 根 据 和 矩阵 乘法 的 定义 ， 和 矩阵 AP 的 第 i 列 是 矢量 Ax;。 由 于 特征 矢 
E x, 对 应 的 特征 值 为 +;， 所 以 可 以 得 出 矩阵 积 AP 的 第 i 列 是 矢量 4x;。 这 样 ， 和 矩阵 积 
P APH) i WEEE P Ax, RAAP 'x;。 我 们 知道 积 P :了 是 单位 矩阵 ， 积 P 'P 的 第 
i IERE P "x;( 由 于 和 矩阵 了 的 第 i 列 是 矢量 xi)。 可 以 得 出 矩阵 J =P AP 是 对 角 和 矩阵 
DAs Azs An)» EE ec tHE AE. SFA ERO i 个 对 角 元 素 是 标量 M. 
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这 种 基于 使 用 线性 独立 特征 矢量 进行 相似 变换 计算 线性 系统 响应 信号 的 方法 称 为 对 角 
化 ， 可 以 总 结 为 如 下 定理 。 


定理 6. 2( 对 角 化 的 线性 系统 响应 ) 考虑 一 个 nn 维 线性 系统 ， 其 动态 方程 为 S$ 二 AS; 


5S(0) 二 s。。 假 定 矩 阵 和 具有 nn 个 独立 的 特征 值 ，Xs，…，A,， 相 应 的 特征 笑 量 为 各， ，…， 
Xnr APHEZ x … x,)， 其 逆 和 矩阵 为 P!。 那 么 该 系统 的 执行 可 以 由 下 列 状 态 
信号 给 出 : 

S’(t) = PD Ce e, eee eh) P's, 


为 了 说 明 这 个 方法 ， 考 虑 下 式 给 定 的 二 维 动态 系统 H: 
S = 487 #6523 5: = sp tH 3S 
矩阵 A, 是 动态 系统 的 矩阵 ， 用 来 说 明 特征 值 和 特征 矢量 的 计算 。 由 前 述 可 知 ， 该 系 
统 有 两 个 特征 值 6 和 1， 对 应 的 特征 矢量 分 别 为 二 (3 1)” 和 x 二 (2 一 1)”。 我 们 选择 
变换 矩阵 为 : 
3 2 
P= (x x)= | | 
t=] 
接 下 来 计算 和 矩阵 了 EEP, RA ee 已 CRA AME, 
然后 根据 已 P= 工 给 出 的 联 立 线性 方程 组 来 设置 : 


四 a ‘|= 3a + 2b hl | 
Tite en. Wasnt meee were 
= (V2 A 
TT WATS = ae 


验证 确实 PP =P CPI, tt—-4, Wik P CAP, 是 对 角 和 矩阵 D(6，1)。 这 说 明 如 果 
我 们 考虑 下 式 








求解 上 式 ， 得 到 ， 


si = (s; + 2s,)/5352 = (5) — 352)/5 
给 出 的 具有 两 个 状态 变量 % 和 s; 的 线性 系统 AH, BA HS = 6s; 和 ;; 二 ss 给 出 的 简单 动态 
性 ， 因 此 很 容易 对 其 进行 分 析 。 把 所 有 这 些 放 在 一 起 ， 从 初始 状态 为 % 开始， 在 任意 时 刻 
t AH 的 状态 等 于 PD(e”*，e')P so。 如 果 初 始 状态 矢量 s 是 [so sos] ， 那 么 通过 计 
算 和 矩阵 积 ， 我 们 得 到 时 刻 上 系统 互 的 状态 的 闭合 式 解 为 : 
Si (t) = [(3e" + 2e') 59) 十 6(es 一 et)soz]/5 
S, (t) = [Ce* 一 e9so + (2e™ + 3e') S02 ]/5 
QOAU ATA, WR A RA n 个 线性 独立 的 特征 矢量 。 在 这 种 情况 下 ， 可 以 通过 相似 
变换 和 矩阵 了 将 矩阵 A 变换 成 具有 车 尔 当 典范 形 扼 阵 J 王 P :4P。 这 是 特殊 形式 的 矩阵 ， 几 
平和 对 角 和 矩阵 一 样 ， 可 以 得 到 指数 和 矩阵 e* 的 显 式 表 示 。 
练习 6. 12: 考虑 具有 一 个 输入 的 一 维 线性 构件 ， 构 件 的 动态 方程 为 二 as 十 bu。 假 定 将 输入 信号 设置 为 常 
量 c， 即 &(z) 一 c。 寻 找 从 初始 状态 为 s 开始 对 应 于 输入 状态 的 系统 响应 5(z) 的 闭合 式 公 式 ( 提 
示 : 积分 | emde Fea). 
练习 6. 13: 考虑 一 个 二 维 动态 系统 ， 其 动态 方程 为 : 
i =— sı +2523; i =s 


采用 相似 变换 的 方法 ， 给 定 初始 状态 su， 计算 状态 信号 5(z) 的 闭合 式 解 。 
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练习 6. 14: 考虑 一 个 二 维 动态 系统 ， 其 动态 方程 为 ; 
$ = 5 一 2 一 3 

采用 相似 变换 的 方法 ， 给 定 初始 状态 wm%， 计 算 状 态 信号 SC 的 闭合 式 解 。 

练习 6. 15: 考虑 一 个 三 维 动态 系统 ， 其 动态 方程 为 : 
$, = 35) +4s> 3 $2 = 250 3 $5 = 4s) + 9s3 
采用 相似 变换 的 方法 ， 给 定 初 始 状态 o HAREASSOMAARR. EM, 3X3 HRA 
的 行列 式 为 : 
Qi (Qszla33 — a23432) + a12 (G23Q31 — a21 a33 ) + ais (2) G32 — a22431) 


其 中 a, 表示 和 矩阵 第 i 行 第 j 列 的 元 素 。 
\ 
6.2.3 稳定 性 


考虑 一 个 n 维 的 线性 系统 昌 ， 其 动态 方程 为 S$ 一 4S。 在 初始 状态 s 条 件 下 ， 系 统 的 
状态 响应 由 信号 SC() 二 e*so 来 描述 。 我 们 的 目标 是 开发 一 种 分 析 方法 来 判定 系统 平衡 点 的 
稳定 性 。 
如 果 条 件 4s.=0 MIL, BARA s 是 系统 互 的 一 个 平衡 点 。 为 了 求 得 系统 H 的 平衡 
点 ,我们 假定 状态 向 量 的 x 个 元 素 是 未 知 量 ， 然 后 按照 求解 对 应 于 条 件 AS. = 0 的 n 个 线 
性 方程 组 。 可 以 看 出 ， 状 态 将 0 赋值 给 所 有 状态 变量 ， 它 是 系统 H 的 一 个 平衡 点 。 如 果 
EEA, WRA 的 秩 为 2) 是 可 逆 的 ,那么 方程 As, 二 0 有 唯一 解 ， 且 0 是 唯一 的 平衡 
点 。 如 果 非 零 状 态 ERAH 的 平衡 点 ， 那 么 我 们 考虑 经 过 线性 转换 后 的 具有 状态 矢量 
S'=S—s, 系统 H'。 该 变换 后 系统 的 动态 性 由 微分 方程 5 二 AS' 进行 描述 ， 在 任意 时 刻 1， 
方程 $ OSSO s. 成 立 。 注 意 ， 状 态 0 是 该 系统 H' 的 一 个 平衡 点 。 这 样 ， 变 换 后 系统 
在 平衡 点 0 的 行为 对 应 于 原始 系统 在 平衡 点 s 的 行为 。 因 此 ， 如 果 我 们 知道 如 何 分 析 平 衡 
点 0 是 否 是 稳定 的 ， 那 么 就 可 以 使 用 相同 的 分 析 技 术 判断 任 意 平衡 点 是 否 是 稳定 的 : 系统 
H 的 平衡 点 s。 的 稳定 性 性 质 对 应 于 系统 互 " 的 平衡 点 0 的 性 质 。 
在 本 节 下 面 的 内 容 中 ， 我 们 简化 “线性 系统 互 的 状态 0 是 稳定 的 平衡 点 ”为 “线性 
系统 H 是 稳定 的 ">,“ 线 性 系统 H 的 状态 0 是 渐 近 稳定 的 平衡 点 ”为 “线性 系统 H 是 渐进 
稳定 的 ”。 
一 维系 统 
根据 定义 ， 如 果 对 于 每 个 :二 0， 存 在 一 个 8 二 0， 使 得 对 于 所 有 状态 soo WMR | sol <. 
那么 在 任意 时 刻 tle“s.||<e, 那么 线性 系统 H 是 稳定 性 的 。 另外， 如 果 存 在 一 个 6 二 0， 
使 得 对 于 所 有 状态 s。， 如 果 |so 上 过 6， 那么 随 着 时 间 t 的 递增 e*so 收敛 于 0， 那么 系统 H 
是 渐 近 稳定 的 。 在 后 一 种 情况 中 ， 条 件 “ 对 于 任意 的 状态 ss MRIs |<d 成 立 ， 那 么 
e^ so PER RTI 上 的 增 大 收敛 于 零 ” 成 立时 6 二 0 的 取 值 称 为 吸引 域 。 
首先 ， 我 们 关注 一 维 线性 系统 。 系 统 的 动态 方程 为 蒂 =az。 如 果 系 统 的 初始 状态 为 
zo， 那么 在 任意 时 刻 t 系统 状态 为 eex。。 根 据 系 数 a 的 正 负 号 ， 我 们 考虑 如 下 的 三 种 
情形 : 
e MRAM a BAM. MAR ez. 的 大 小 随 着 时 间 上 的 递增 而 递减 ， 并 且 其 界限 为 
初始 值 zo 的 大 小 。 因 此 ， 系 统 是 稳定 的 。 同 时 ， 可 以 观察 到 ， 不 论 初 始 值 是 什么 ， 
工 的 值 都 呈 指 数 递减 ， 最 后 变 为 0。 在 这 种 情况 下 ， 系 统 是 渐 近 稳定 的 ， 实 际 上 ， 
上 述 针 对 的 是 所 有 状态 。 

e 如 果 系 数 上 等 于 0， 那 么 工 的 值 等 于 它 的 初始 值 xv 。 因 此 ， 状 态 的 大 小 不 随时 间 变 
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W, ASEM. Kill, AFRA O, A, ASA MITE HN. 
e MRAM a 是 正 数 ， 那 么 可 以 观察 到 量 Mro 随 着 时 间 ¢ 的 递增 呈 指 数 增长 AR, 
工 值 的 大 小 旦 指数 增长 且 以 无 界 的 方式 增长 ， 系 统 是 不 稳定 的 。 
因此 ， 一 维 线性 系统 的 稳定 性 取决 于 反映 状态 变量 变化 率 的 依赖 关系 的 项 的 系数 的 正 
AS: 如 果 a 二 0， 那么 系统 是 不 稳定 的 ; MRa<0, 那么 系统 是 稳定 的 ; 如 果 a<, A 
么 系统 是 渐 近 稳定 的 。 


对 角 状 态 动态 矩阵 
BUERE A 是 HEY RY FA EIFS D(a, ，a ，…a,)。 在 这 种 情况 下 ， 我 们 知道 矩 
阵 指 数 也 是 对 角 和 矩阵 。 如 果 系 统 的 初始 状态 是 由 矢量 (so so … sw) 给 出 ， 那 么 在 


任意 时 刻 t 的 状态 S(z) 为 : 
S(t) 三 《Et eso we ES 下 
可 以 看 到 ， 对 于 每 个 i， 如 果 w 二 0， 那 么 量 e* 随 着 时 间 i 递增 旦 指数 增长 ; 如 果 a 二 0， 
那么 量 e 保持 不 变 ; 如 果 a; 二 0， 那 么 量 e* 随 着 时 间 t 递增 呈 指 数 递减 。 下 面 将 一 维系 统 
的 分 析 方 法 进行 推广 : 
o 如 果 没 有 系数 a; 都 是 正 的 ， 那 么 对 于 每 个 初始 状态 s。， 在 任意 时 刻 :， 对 于 结果 信 
号 ,|SC()| 二 |so| 成 立 ， 因 此 系统 是 稳定 的 。 

© 如 果 所 有 系数 a; 都 是 负 的 ， 那 么 除了 上 述 情 况 中 的 稳定 性 外 ， 独 立 于 初始 状态 so» 
对 于 产生 的 信号 ，| SC 收敛 于 平衡 点 0， 因此 系统 是 渐 近 稳定 的 。 这 里 的 吸引 域 
是 real”, 

© 假设 存在 一 个 索引 i 使 得 系数 a; 是 正 的 。 那 么 如 果 我 们 选择 初始 状态 ss ， 使 得 so 是 
正 的 且 so 二 0(j 关 让 ， 那 么 不 论 so 多 么 小 ， 响 应 信号 SC(7) 的 第 i 个 分 量 eso ， 将 随 
着 时 间 递 增 无 限 递增 ， 在 这 种 情况 下 ， 系 统 是 不 稳定 的 。 

BZ, SRM 4 为 对 角 和 抢 阵 Dai ，a ，…a,) 时 ， 如 果 ww 过 0， 那 么 系统 是 不 稳定 的 ; 
如 果 w 委 0， 那 么 系统 是 稳定 的 ; 如 果 a; 二 0， 那么 系统 是 渐 近 稳定 的 。 

可 对 角 化 的 状态 动态 矩阵 

回想 上 面 所 讲 的 用 于 对 角 化 矩阵 和 计算 矩阵 指数 的 相似 变换 。 给 定 一 个 线性 系统 H, 
其 动态 方程 为 $=4S， 我 们 选择 合适 的 可 道 矩阵 已 并 考虑 变换 的 线性 系统 H, 
HEH S =JS, Hp J=P 7AP, HORER E S' 通 过 线性 变换 S' 王 P-:S MH 的 状态 
矢量 S 得 到 的 。 我 们 看 到 ， 信 和 号 的 线性 变换 保持 其 大 小 的 有 界 性 并 收敛 性 于 0。 这 说 明 相 
似 变换 保持 平衡 点 的 稳定 性 性 质 。 下 面 的 命题 说 明了 这 点 。 

命题 6. 1( 相 似 变换 后 稳定 性 不 变 ) ”给 定 一 个 nn 维 的 线性 系统 及 ,其 状态 向 量 为 5， 
动态 方程 为 S 二 AS， 考 虑 另 一 个 nn 维 的 线性 系统 颗 '， 其 状态 向 量 为 S'， 动 力学 方程 为 
S'=JS', RPMPFRA THEME PJ 二 PP 'AP。 那 么 当 且 仅 当 系 统 及 ' 是 稳定 的 时 系统 H 
是 稳定 的 ， 当 且 仅 当 系 统 日 ' 是 渐进 稳定 的 时 系统 H 是 渐进 稳定 的 。 

如 果 我 们 能 够 选择 相似 变换 矩阵 王 使 得 矩阵 JJ 为 对 角 和 矩阵 ， 那 么 我 们 可 以 得 出 如 果 J 
的 某 些 对 角 元 素 的 正 ， 则 系统 HERRER; 如 果 了 的 所 有 元 素 都 是 非 正 的 ， 那 么 系统 
H 是 稳定 的 ; 如 果 J 的 所 有 对 角 元 素 都 是 负 的 ， 那么 系统 H 是 渐 近 稳定 的 。 

PTAA. WERE A 的 所 有 特征 值 都 是 实数 且 互 不 相同 ， 那 么 我 们 可 以 使 用 相应 的 
特征 矢量 选择 和 矩阵 了 ,J 的 对 角 元 素 就 是 矩阵 A 的 特征 值 。 因 此 ， 如 果 和 矩阵 A 有 nn 个 不 同 
的 实 值 特征 值 41，X:，…*4, BAMRA SOR 让 ,平衡 点 0 是 不 稳定 的 ; 如 果 X; 二 0( 所 
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Ai), FRA 0 BARREN; WR ASLA DAMA; =OGET 7), 平衡 点 0 是 稳定 的 但 
不 是 渐 近 稳定 的 。 i 
我 们 再 重新 考虑 图 6-3 所 示 的 汽车 模型 。 如 前 所 述 ， 系 统 的 状态 动态 矩阵 是 : 


A= 


这 个 和 矩阵 的 特征 值 是 实数 0 Akm, RAAT RRS NA, BRRBB EMRE 
近 稳 定 的 ， 这 与 6. 1. 4 节 中 根据 李 雅 普 诺 夫 稳定 性 定义 分 析 的 结果 吻合 。 

通常 ， 抢 阵 的 特征 值 是 复数 。 因 此 需要 对 上 述 的 情况 特征 值 进行 扩展 。 当 所 有 特征 值 
的 实 部 都 是 负数 时 ， 系 统 是 渐 近 稳定 的 。 

定理 6. 3( 线 性 动态 系统 的 稳定 性 判定 ) ”给 定 的 线性 系统 S$ 二 AS 是 渐进 稳定 的 当 且 仅 
SKM A 的 每 一 个 特征 值 都 具有 负 实 部 。 

如 果 状 态 动态 矩阵 A 的 某 个 特征 值 具有 正 实 部 ， 那 么 系统 是 不 稳定 的 。 如 果 某 些 特征 
具有 负 实 部 ， 剩 下 的 是 纯 虚 数 ( 即 实 部 等 于 0)， 那 么 系统 不 是 渐 近 稳定 的 ， 且 系统 的 稳定 
性 依赖 于 对 应 于 每 个 这 样 的 虚数 特征 值 的 若 尔 当 块 的 结构 。 

BIBO 稳定 性 

现在 让 我 们 将 目光 转向 有 输入 的 构件 。 考 虑 如 下 的 系统 : 

$=AS+BI; O=CS+DI 

为 了 检查 系统 是 不 是 BIBO 稳定 的 ， 我 们 设置 初始 状态 so 二 0 并 考虑 有 界 输 入 信号 I 的 

系统 行为 。 根 据 李 雅 普 诺 夫 稳 定性 准则 ， 我 们 说 明 检 查 BIBO 稳定 性 的 充分 条 件 。 


定理 6. 4( 将 BIBO 稳定 性 简化 为 李 雅 普 诺 夫 稳定 性 ) ”如 果 线 性 动态 系统 SAS RH 


近 稳 定 的 ， 那 么 具有 动态 性 $ 二 AS 十 BI $ O=CS+DI 的 连续 时 间 构 件 是 BIBO 稳定 的 。 

这 个 定理 的 证 明 需 要 使 用 传递 函数 来 理解 连续 时 间 构 件 的 动态 性 ， 这 已 经 超出 了 本 书 
的 范围 。 

注意 图 6-5 中 的 直升机 模型 ， 如 果 我 们 设 定 输入 转 矩 为 0， 那 么 系统 的 动态 方程 为 5 二 
0。 在 这 个 动态 方程 中 ， 如 果 初 始 旋转 是 %， 那 么 系统 的 状态 会 保持 wm 不 变 ， 因 此 系统 是 
稳定 的 但 不 是 渐 近 稳定 的 。 如 前 所 述 ;， 如 果 给 系统 施加 一 个 常量 转 短 作为 输入 ， 那 么 旋转 
以 无 界 方式 线性 增长 ， 系 统 不 是 BIBO 稳定 的 。 因 此 ， 系 统 S=AS 的 稳定 性 不 能 说 明 具 有 
动态 方程 S$ 一 AS 十 BI 和 OQ 二 CS 十 DI 的 连续 时 间 构 件 是 BIBO 稳定 的 。 相 反 ， 具 有 动态 方 


42 S=AS+BI, O=CS+DI 的 连续 时 间 构 件 的 BIBO 稳定 的 并 不 能 保证 系统 S=AS 是 李 

雅 普 诺 夫 稳 定 的 ， 除 非 再 添加 额外 的 矩阵 属性 。 

练习 6. 16°: 证 明 命题 6. 1。 

练习 6. 17， 对 于 练习 6. 13、 练 习 6. 14、 练 习 6. 15 中 的 系统 ， 判 定 系统 是 否 是 渐 近 稳定 的 ， 稳 定 但 不 渐 
进 稳定 的 或 不 稳定 的 。 


6.3 控制 器 设计 


给 定 一 个 被 控 对 象 的 动态 系统 模型 ， 控 制 器 用 于 提供 受 控 输 入 信和 号 来 保持 系统 的 输出 
接近 于 期 望 的 输出 ， 调 整 不 受 控 扰 动 中 的 变化 。 设 计 控 制 器 是 一 门 成 熟 的 学 科 。 我 们 将 讲 
解 控制 器 设计 的 最 基本 方法 以 及 在 实际 工业 应 用 中 最 常用 的 控制 器 类 型 。 
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6.3.1 开 环 控制 器 与 反馈 控制 器 


开 环 控制 器 决策 的 过 程 中 不 需要 测量 被 控 对 象 的 状态 或 者 输出 。 这 种 控制 器 依赖 于 被 
控 对 象 的 模型 来 判断 被 控 对 象 的 输入 信号 ， 它 的 实现 不 需要 传感器 。 例 如 ， 考 虑 图 6-3 中 
的 汽车 模型 。 假 定 该 控制 器 的 目标 是 维持 恒定 的 汽车 速度 (也 就 是 在 任意 时 刻 忆 二 0)。 那 
么 ， 如 果 初 始 速度 为 v, HEWANI FEF kuo: 控制 器 只 是 简单 地 将 这 个 恒定 的 输入 
力 施加 到 汽车 上 以 便 维持 恒定 速度 zw 。 这 种 控制 器 称 为 开 环 : 当 与 图 6-1 所 示 的 架构 进行 
比较 时 ， 缺 少 传感器 模块 和 从 被 控 对 象 到 控制 器 的 信息 流 。 显 然 ， 实 现 这 种 控制 器 比 需要 
传感器 的 那 种 控制 器 便宜 。 然 而 ， 这 种 控制 器 的 设计 主要 依赖 于 假设 地 被 控 对 象 的 行为 是 
可 预测 的 ， 且 可 以 被 理想 的 数学 模型 捕获 。 实 践 中 ， 在 人 的 干预 下 ， 这 种 控制 器 是 可 以 接 
受 的 。 如 果 轰 驶 员 发 现 车 速 不 能 接受 ， 则 应 该 通过 开 环 控制 器 简单 地 增加 或 者 减少 期 望 车 
速 来 重新 计算 施加 的 外 力 。 

一 个 反馈 控制 器 使 用 传感器 来 测量 输出 和 被 控 对 象 的 当前 状态 ， 然 后 更 新 受 控 输 入 变 
量 的 值 。 例 如 ， 图 6-8 所 示 的 修改 后 的 汽车 模型 ， 模 型 考虑 路 面 梯度 的 变化 。 假 定 控制 器 
已 经 施加 了 正确 大 小 的 力 来 维持 汽车 的 速度 为 期 望 的 巡航 速度 。 梯 度 0 的 正 向 变化 导致 车 
减速 ;梯度 9 的 负 向 变化 导致 车 加 速 。 通 过 传感器 测量 的 车 速 ， 作 为 控制 器 的 一 个 输入 。 
控制 器 可 以 通过 车 速 的 变化 调整 施加 给 车 的 力 的 大 小 ， 从 而 维持 车 速 等 于 期 望 的 巡航 速 
度 。 反 馈 控制 器 不 但 可 以 处 理 变化 规律 事先 不 确定 的 扰动 (如 梯度 )， 还 可 以 处 理 不 太 准 确 
的 被 控 对 象 的 模型 。 反 馈 控 制 器 的 实现 需要 传感器 ， 且 其 性 能 受 传感器 的 测量 准确 度 的 
影响 。 


6.3.2 稳定 化 控制 器 


稳定 化 直升机 模型 

我 们 使 用 图 6-5 所 示 的 直升机 来 描述 设计 控制 器 的 简单 及 典型 模式 。 我 们 知道 给 定 的 
直升机 模型 是 不 稳定 的 。 图 6-10 所 示 的 控制 器 接受 两 个 输入 信号 : 输入 信号 > 代表 捕获 其 
望 旋转 的 参考 信号 ， 信 号 s 代表 被 控 对 象 的 输出 ， 也 就 是 测量 的 直升机 的 旋转 。 根 据 这 两 
个 期 望 的 和 实际 的 输 和 变量， 通过 方程 一 一 * 计算 误差 信号 。。 控 制 器 的 目标 是 ， 尽 量 
使 得 误差 信号 越 小 越 好 ， 同 时 确保 由 直升机 模 PS 直升机 模型 
型 和 控制 器 组 成 的 闭环 系统 是 稳定 的 。 注 意 ， _r ,7-Kr_5| en]  ，， 
误差 信号 e 的 正 值 意味 着 控制 器 应 该 通过 增加 
转 矩 来 增加 实际 的 旋转 s， 误差 信号 的 负 值 意 
味 着 控制 器 应 该 通过 减 小 转 矩 来 减少 实际 的 旋转 “0 PELE Re fe BSB 
转 *。 图 6-10 所 示 的 控制 器 通过 正 的 常量 因子 Ke 简单 地 缩放 误差 信号 来 计算 转 矩 。 这 种 
控制 器 称 为 比例 控制 器 ， 常 量 Kp 称 为 控制 器 的 增益 。 

对 于 由 控制 器 和 直升机 组 成 的 闭环 控制 系统 ， 输 入 信号 是 参考 值 "; 输出 是 旋转 s。 组 
合 系统 的 动态 性 由 下 式 给 出 ， 

s = Kp(r—s)/I 

这 是 一 个 一 维 的 线性 系统 ， 表 示 状 态 变量 的 变化 率 依赖 于 状态 变量 本 身 的 系数 是 一 Ks/T。 
我 们 知道 ， 当 系数 为 负数 时 ， 系 统 是 渐 近 稳定 的 。 因 此 ， 只 要 增益 是 正 数 ， 该 系统 就 是 渐 
近 稳 定 的 。 

当 参 考 输入 等 于 0 时 ， 也 就 是 说 ， 控 制 器 的 目标 是 防止 直升机 发 生 旋转 时 ， 控 制 器 施 
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加 给 直升机 的 转 矩 等 于 一 Kp/I。 不 论 初 始 旋转 s 是 多 少 ， 这 都 会 导致 旋转 呈 指 数 衰减 到 
零 。 增 益 Kp 的 值 越 高 ， 收 敛 的 速度 越 快 。 

线性 状态 反馈 

线性 系统 的 状态 反馈 控制 器 的 通用 架构 如 
图 6-11 所 示 。 原 始 系统 通过 线性 构件 H 进行 建 模 。 
该 构件 拥有 个 状态 变量 S Film 个 输出 变量 工 È 


的 动态 性 由 线性 微分 方程 $==AS 十 BI 进行 描述 。 6-11 线性 系统 的 状态 反馈 控制 器 
在 这 种 设置 中 ， 假 设 控制 器 可 以 完全 观测 状态 ， 也 
就 是 ， 被 控 对 象 的 输出 变量 与 它 的 状态 变量 是 一 致 的。 控制 器 基于 被 控 对 象 的 状态 S 和 参 
考 输入 R 来 计算 输出 I。 参 考 输入 R 与 状态 S 都 是 n 维 的 。 

控制 器 是 无 状态 线性 构件 ， 其 线性 变换 过 程 由 下 式 给 出 : 

I = E(R— 8S) 

变换 矩阵 OF Sm Xn HEA, POR, AMARA n ERAS Rn 维 参考 输入 

R， 其 动态 性 为 : 
S = (A — BF )S + BFR 

控制 设计 的 问题 是 选择 一 个 mXn EF 使 得 组 合 系统 是 渐 近 稳定 的 。 那 么 根据 定理 
6.4， 我 们 可 以 确保 系统 也 是 BIBO 稳定 的 ， 因 此 参考 输入 的 微小 变化 不 会 导致 状态 信号 
的 大 扰动 。 

设计 增益 矩阵 

我 们 知道 动态 性 为 $=4S 的 线性 系统 是 渐 近 稳定 的 ， 当 矩阵 4 的 每 个 特征 值 都 有 负 
实 部 ( 见 定理 6. 3) 。 因 此 ， 为 了 设计 图 6. 11 所 示 的 稳定 化 控制 器 ， 给 定 矩 阵 4 和 B， 需 要 
选择 增益 和 矩阵， 使 得 矩阵 (4 一 BF) 的 每 个 特征 值 都 有 人 负 实 部 。 

我 们 考虑 具有 两 个 状态 变量 、 一 个 输入 变量 的 方程 组 来 说 明 这 个 计算 过 程 : 

Sı = 45, + 6s, +2u; Ss, = sı +35. +u 

系统 的 矩阵 4 是 我 们 在 6. 22 节 计 算 特 征 值 ， 特 征 向 量 和 矩阵 指数 矩阵 4 ， 我 们 知道 
特征 值 为 6 和 1， 因 此 系统 是 不 稳定 的 。 和 矩阵 下 是 列 矢 量 (2 1)7。 期 望 的 增益 矩阵 下 是 
1X2 和 矩阵 ， 假 定 它 的 元 素 为 户 和 f。。 我 们 选择 这 些 未 知 元 素 fı 和 fo 的 值 使 得 下 述 矩 阵 


的 特征 值 具有 负 实 部 : 
4 6 2 = Br Om Afa 
k | IG forile 3—f, 
现在 控制 设计 对 应 于 选择 这 个 矩阵 的 特征 值 ， 然 后 求解 未 知 的 户 和 户 。 这 个 和 矩阵 的 
特征 多 项 式 为 : 
Ps faf = 4 = 27, SC FF, — A) — Ci — 2 F291 — fads 
=¥+Q0fth-D+6—-2f) — 
如 果 这 个 特征 多 项 式 的 形式 为 一 )G 一 ia)， 那 么 它 的 根 是 和 4s。 通 过 对 这 些 二 次 多 
项 式 的 系数 进行 匹配 ， 我 们 得 出 当 增 益 和 矩阵 五 的 元 素 满足 下 面 的 方程 时 ， 和 矩阵 4 一 BF 的 
特征 值 等 于 Xi M AÀ: 
2f1 + f2 —7 =—Ai Àz; 
6— 2f: = Adz 
如 果 我 们 更 喜欢 特征 值 一 1 和 一 2( 这 些 可 以 确保 渐 近 稳定 性 )， 那 么 需要 求解 2A +h — 
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7=3; 6—2f,.=2. 

我 们 得 出 方 =4 和 f= 二 2。 因 此 ， 期 望 的 矩阵 下 为 (4 2)， 也 就 是 说 ， 控 制 器 应 该 给 
系统 提供 输入 信号 4 二 4(71 一 si) 十 2(7s 一 s;)， 这 样 产生 的 闭环 系统 是 渐 近 稳定 的 且 特 征 值 
2 

我 们 也 可 以 选择 复数 特征 值 只 要 当 我 们 选择 复数 时 ， 我 们 也 可 以 选择 它 的 共 思 特征 
值 。 例 如 ， 如 果 我 们 想 要 特征 值 为 一 1 十 和 一 1 一 j， 那 么 我 们 需要 求解 下 式 : 

2fi tfh =T= 

6— 2f: =2 
求解 的 结果 为 有 i 二 7/2 和 f.=2. AARE., EARN ee FE 2) 的 情况 下 ， 
最 终 的 闭环 系统 的 特征 值 是 一 1 十 j 和 一 1 一 j， 系 统 是 渐 近 稳定 的 。 

ENA, B) KTHE 

总 之 ， ATRE RR Ea RIERA m SB AY PIE As Azs tts Ans 
并 需要 求解 方程 ， 

266 detlA — BF — Al] = (A—A,) (A—Az) (A — Àn) 

对 应 于 增益 矩阵 的 元 素 有 mn 个 未 知 量 。 这 种 设计 稳定 性 的 方法 自然 带 来 两 个 问题 
1) 什 么 时 候 方程 确保 有 解 ? 2) 解 的 存在 性 取决 于 特征 值 的 选择 吗 ? 已 经 证 明 当 和 矩阵 对 (A， 
B) 满 足 某 个 性 质 时 ， 对 于 每 个 选择 的 特征 值 A ，4;，…，4,， 都 可 能 选择 增益 矩阵 了 的 元 
素 使 得 满足 上 述 方程 。 

给 定 nXn FEE A Bln Xm AB, SBM FAA n FF mn 列 的 矩阵 : 

CAB) = CB AR AB <. A'B) 

也 就 是 ， 和 矩阵 C(4，B) 的 前 m 列 是 nXm EE BN, SGA m 列 是 nXm EE AB 
的 列 ， 最 后 的 m 列 是 nXm HEA" BAT, FECA, BRAITRE CA, BH 
可 控 性 矩阵 。 如 果 可 控 性 矩阵 的 秩 为 上， 也 就 是 说 ， 如 果 和 矩阵 C(4，B) 的 所 有 行 都 是 线性 


无 关 的 ， 那 么 就 说 矩阵 对 (A4，B) 是 可 控 的 。 在 这 种 情况 下 ， 具 有 动态 方程 S$ 二 AS 十 BI 的 
线性 系统 也 称 为 是 可 控 的 。 

下 面 的 定理 告诉 我 们 对 于 与 给 定 特征 值 相关 的 增益 矩阵 的 存在 可 控 性 是 充分 必要 条 
件 。 如 果 抢 阵 对 (4， 了 下) 是 可 控 的 ,那么 对 于 任意 选择 的 特征 值 只 要 我 们 只 选择 实数 或 当 
我 们 选择 复数 时 我 们 也 选择 它 的 共 氏 ， 可 能 求 得 期 望 的 增益 矩阵 下。 如 果 抢 阵 对 (4，B) 不 
是 可 控 的 ， 那 么 并 不 是 所 有 特征 值 都 可 以 自由 选择 。 

定理 6. 5( 可 控 性 与 特征 值 分 配 ) FARnNXnBH, BENXmMBR, dF hh A k 


述 是 等 价 的 : 
© nXmn 可 控 性 矩阵 C( 和 4，B)， 其 列 是 矩阵 B， AB, A*B，… ，A”"'B 的 列 ， 可 
控 性 矩阵 的 秩 为 ma。 : 
© TCM) RMA. Ary A, HEDER, SCMRRUEMRANAPH AHA MESI 
表 中 ， 存 在 一 个 mXn EF, 使 得 矩阵 (A 一 BF) 的 特征 值 为 A1，As，…，A,。 
继续 我 们 的 例子 : 


ts 5 


FEXTAF'P, m=1 和 2 一 2。 可 控 性 矩阵 C(A!，B) 是 一 个 2X2 和 矩阵， 其 秩 为 2。 
因此 ， 和 矩阵 对 (4A;，B) 是 可 控 的 。 正 如 我 们 之 前 分 析 的 那样 ， 当 增益 矩阵 下 的 元 素 满足 下 


4 6 2 2- 14 
Á; = | | p= At CAiB) = ki | 


2fi + fr 一 7 =— à — A 
6 = 2f: = NN 
4 (A— BF) HIII A Ai 和 )z。 这 个 线性 方程 但 保证 对 于 任意 的 1 MA 都 有 元 素 fi 
和 f, 的 解 存在 ( 注 : 如 果 A BAR, MAA 必须 是 其 共 印 ， 这 样 才能 确保 它们 的 和 与 积 
是 实数 )。 根 据 定理 6.5， 我 们 知道 这 不 是 巧合 。 
对 于 线性 系统 ， 可 控 性 包含 很 多 其 他 吸引 人 的 特性 。 如 果 线 性 系统 是 可 控 的 ， 那么 对 
于 任何 给 定 的 初始 化 状态 和 目标 状态 ， 那 么 存在 一 个 系统 的 输入 信号 使 得 从 初始 状态 开始 
的 系统 的 状态 在 有 限时 间 内 变 为 等 于 目标 状态 。 更 准确 地 ， 考 虑 一 个 线性 系统 ， 其 动态 方 
程 为 S=4S 十 BIT， 初 始 状态 为 % ， 那 么 矩阵 对 (4，B) 是 可 控 的 。 对 于 每 个 状态 *E real”, 
存在 一 个 时 刻 t E time 和 一 个 输入 信号 I， 使 得 对 于 作为 响应 从 初始 状态 % 开 始 的 该 输 
入 信号 I 的 系统 的 唯一 状态 信号 S，S(z* ) 一 5。 
虽然 我 们 已 经 提出 了 一 种 设计 控制 器 的 方法 来 确保 稳定 性 的 关键 特性 ， 但 值得 一 提 的 
是 ， 在 控制 器 的 设计 过 程 中 ， 还 需要 考虑 另外 两 个 重要 的 方面 : 
o 最 优 性 : 对 于 保证 闭环 系统 的 稳定 性 ， 有 许多 方法 选择 增益 矩阵 PF. RO hE 
论 ， 尤 其 是 设计 线性 二 次 型 调节 器 (LQR) 控 制 器 的 技术 ， 解 决 了 如 何 选 择 和 矩阵 使 得 
其 满足 额外 准则 的 问题 (例如 ， 尽 可 能 快 地 驱使 某 个 状态 变量 变 为 0) 。 
e 状态 估计 : 我 们 已 经 假定 控制 器 的 输入 是 系统 的 完全 状态 S。 当 控制 器 通过 输出 矢 
量 O 只 观测 到 系统 的 部 分 状态 时 ， 将 会 发 生 什 么 ? 在 这 种 情况 下 ， 控 制 器 需要 基于 
输出 信号 的 观测 性 来 估计 系统 的 状态 ， 可 观测 性 和 状态 估计 的 理论 形成 该 目的 的 


技术 。 
练习 6. 18: 考虑 一 个 具有 两 个 状态 变量 、 一 个 输出 变量 的 线性 系统 ， 其 动态 方程 为 : 
ši =5,/2 +s: +u 
32 =s, 2s: +u 
1) 说 明 该 系统 是 不 稳定 的 。 


2) 说 明 系 统 的 可 控 的 。 
3) 确定 增益 矩阵 玉 ， 使 得 由 此 产生 的 闭环 系统 的 特征 值 为 一 1 十 ; 和 一 1 一 j。 
练习 6. 19” : 考虑 一 个 具有 两 个 状态 变量 、 一 个 输出 变量 的 线性 系统 ， 其 动态 方程 为 : 
$1 =— 2s, +u 
§ = $1 ~ 3s, Hu 
HA, WAEREA, BEATE). BER VLBA A a RE HE FEN i E FOR ESE 
(4 一 BF) 的 特征 值 为 任意 值 : 说 明 不 论 增益 矩阵 下 的 特征 值 如 何 选择 ， 和 矩阵 (4 一 BF) 总 有 
一 个 特征 值 为 一 1( 虽 然 矩阵 (4 一 BF) 的 第 二 个 特征 值 可 以 根据 增益 和 抢 阵 下 的 合适 选择 设置 
为 任意 值 )。 


6.3.3 ”PID 控制 器 * 


在 工业 控制 系统 中 ， 最 常用 用 来 矫正 预期 参考 信息 与 测量 输出 信号 之 间 偏 差 的 控制 器 
使 用 3 项 的 组 合 : 捕获 对 当前 误差 反应 的 比例 项 ; 捕获 对 累计 误差 反应 的 积分 项 ; 捕获 对 
误差 变化 率 反 应 的 导数 项 。 这 种 控制 器 称 为 PID 控制 器 。 下 面 使 用 经 典 的 直流 电动 机 控制 
系统 来 说 明 PID 控制 器 的 设计 。 

直流 电动 机 

图 6-12 说 明了 将 输入 电压 转换 为 转动 运动 的 直流 (DC) 电 动机 的 设计 ， 它 常常 作为 许 
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多 机 电 设 备 的 组 成 模块 。 在 图 6-12 中 ， 左 边 是 电路 ， 它 与 右边 的 转轴 连接 。 





ix 
电阻 R 电感 角 位 移 8 
阻尼 电阻 56 
惯性 电阻 万 


图 6-12 直流 电动 机 的 动态 性 


用 符号 V, 表示 输入 电压 ， 用 尺 表示 电路 的 电阻 ， 用 L 表示 电路 中 的 电感 ， 用 表示 
电路 中 流动 的 电流 ， 用 9 表示 转子 的 角 位 移 。 如 果 用 上 表示 电动 势 (EMF) 常 量 ， 那么 转轴 


产生 的 反 电动 势 等 于 &0。 电 路 的 基本 原理 告诉 我 们 : 1) 电 阻 两 端的 电压 等 于 电阻 与 流 过 电 
路 的 电流 的 乘积 ; 2) 电 感 两 端的 电压 等 于 电感 与 流 过 电路 的 电流 变化 率 的 乘积 ; 3) 电 路 中 
闭路 的 电压 和 等 于 必须 零 ( 基 尔 霍 夫 定律 ) 。 应 用 上 述 规则 ， 我 们 得 到 方程 
Li+Re +k =V, 

接着 分 析 转 轴 的 运动 。 施 加 在 转轴 上 的 转 矩 等 于 电动 势 常 数 & 乘 以 流 过 电路 的 电流 。 
如 果 符 号 工 表示 转动 惯量 ， 符 号 表示 对 应 于 阻尼 效应 的 摩擦 系数 ， 那 么 根据 牛顿 旋转 体 
定律 得 到 : 

ID +00 = ke 

直流 电动 机 的 输出 为 转轴 的 转动 速度 。 那 么 可 以 
用 图 6-13 所 示 的 连续 时 间 构 件 来 描述 这 种 动态 性 。 在 A 
这 个 模型 中 ，v 代表 转动 角速度 ， 省 略 了 角 位移 量 9。 f 

直流 电动 机 控制 器 图 6-13 直流 电动 机 的 连续 

图 6-13 中 的 直流 电动 机 控制 器 观测 转动 角速度 vy， 时 间 构 件 模 型 
并 调整 源 电压 V, 来 获得 期 望 的 响应 。 这 种 控制 器 的 典 
型 任务 是 控制 电压 输入 使 得 转动 角速度 从 它 的 初始 值 改 变 为 期 望 的 速度 ~。 我 们 已 经 知道 
通过 合适 选择 比例 增益 常量 Kp 来 设计 包括 缩放 参考 值 与 观测 值 之 间 的 差 的 比例 控制 器 的 
通用 技术 : 





V, = KpGr—y) 

虽然 我 们 已 经 分 析 了 增益 常量 的 值 与 
由 此 产生 的 闭环 系统 的 ( 渐 近 ) 稳 定性 之 间 
的 关系 ， 但 为 了 理解 各 种 需求 而 不 是 实际 
感 兴趣 的 稳定 性 ， 让 我 们 检查 图 6-14 中 
的 采用 比例 控制 器 的 直流 电动 机 的 典型 行 
动 。 该 图 是 用 MATLAB 生成 的 ， 其 中 的 
参数 值 为 : 转动 惯量 I=0.01, HERE 
0 一 0.1、 电 动 势 常量 k=0.01, H R= 
1、 电 感 L==0. 5、 参 考 输入 r= 二 1、 比 例 增 : : i i i 
益 常 量 Kp=100, 0 0.5 1 iis 2 2.5 3 

图 6-14 所 示 的 响应 称 为 连续 时 间 构 6-14 比例 控制 器 的 直流 电动 机 的 输出 响应 
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件 的 阶 跃 响应 : 在 时 刻 加 (本 例 中 是 时 刻 0)， 我 们 想 将 输出 从 初始 值 ( 本 例 中 是 0) 改 变 为 
新 的 参考 值 ( 本 例 中 是 1) 。 图 6-14 显示 的 输出 响应 信号 的 曲线 是 大 多 数 物理 系统 的 说 明 。 
让 我 们 直观 地 考虑 系统 的 输出 变化 如 何 响应 参考 信号 的 变化 ， 用 符号 e 表示 参考 值 与 系统 
输出 之 间 的 差 值 。 在 初始 时 间 段 ， 这 个 误差 e 的 大 小 是 最 大 。 随 着 误差 e 的 改变 ， 控 制 器 
提供 的 控制 输入 的 值 也 随 着 变化 ， 进 而 影响 系统 的 状态 与 输出 。 输 出 接近 1 但 由 于 物理 世 
界 的 动力 学 光滑 性 ， 输 出 值 会 超过 期 望 值 。 超 调 使 误差 变 为 负 值 ， 导 致 控制 器 改变 输出 
导数 的 方向 。 在 输出 值 达到 稳 态 值 前 ， 同 样 的 现象 重复 导致 输出 振荡 一 段 时 间 ， 在 没有 外 
部 干扰 下 会 保持 不 变 。 

给 定 上 图 所 示 系 统 输出 的 预期 响应 ， 下 面 的 度量 量 能 够 反映 控制 器 的 性 能 : 

1) 超 调 : 系统 输出 的 最 大 值 与 期 望 的 参考 值 之 间 的 差 值 。 对 于 图 6-14 所 示 的 直流 电 
动机 响应 ， 最 大 的 转动 速度 为 1. 12rad/s， 超 调 为 12%。 理 想 情况 下 ， 超 调 应 该 越 小 越 好 。 
特别 地 ， 安 全 性 需求 可 以 保证 超 调 应 该 低 于 某 个 阔 值 。 

2) 上 升 时 间 : 从 参考 信号 改变 时 的 时 间 到 输出 信号 越过 期 望 参考 值 的 时 间 之 间 的 时 
间 差 。 对 于 图 6-14 所 示 的 直流 电动 机 响应 ， 上 升 时间 为 0. 15s。 理 想 情 况 下 ， 越 小 的 上 升 
时 间 ， 系 统 的 响应 性 越 好 ; 通常 尝试 减 小 上 升 时 间 将 会 导致 超 调 增 大 。 

3) BASRA: 输出 信号 的 稳 态 值 与 参考 信号 的 值 之 间 的 差 值 。 对 于 图 6-14 所 示 的 直 
流 电动 机 响应 ， 输 出 以 0. 9rad/s 达到 稳 态 ， 这 样 产生 10% 的 稳 态 误差 。 理 想 情况 下 ， 稳 
态 误差 应 该 等 于 0， 但 是 小 的 误差 也 是 可 以 接受 的 。 

4) 调整 时 间 : 从 参考 信号 改变 的 时 间 到 输出 信号 达到 稳 态 值 的 时 间 之 间 的 时 间 差 。 
对 于 图 6-14 所 示 的 直流 电动 机 响应 ， 调 整 时 间 为 0. 8s。 理 想 情 况 下 ， 调 整 时 间 应 该 很 小 ， 
系统 应 该 在 几 个 振荡 周期 内 达到 期 望 的 输出 值 。 

对 于 直流 电动 机 的 比例 控制 器 ， 改 变 增 益 Kp 的 值 会 影响 上 升 时 间 和 超 调 ， 但 是 单纯 
的 比例 控制 器 不 能 消除 稳 态 误差 。 为 了 获得 最 优 性 能 ， 我 们 需要 包含 导数 与 积分 部 件 。 

PID 控制 器 

一 个 通用 版 本 的 PID 控制 器 如 图 6-15 所 示 。 该 控制 器 有 两 个 输入 信号 : 参考 信号 六 
受 控 的 动态 系统 的 被 测 输出 yve HEE e 表示 参考 信号 ~ 与 被 测 被 控 对 象 输出 y 之 间 的 差 
值 的 误差 信号 ， 那 么 控制 器 的 输出 u( 送 给 被 控 对 象 ) 是 下 列 3 项 的 和 : 

PID 控 制 器 


比例 

: 
积分 

| =e 
ize ELG) 
u,= Kjxy x 
导数 


Up= 












6-15 通用 PID 控制 器 


e 比例 项 Ke: 该 项 的 作用 与 当前 误差 的 大 小 成 比例 。 常 量 Kp 称 为 比例 增益 ， 控 制 
器 通过 这 个 因子 改变 误差 的 大 小 。 


© 积分 项 K, | elr)dr; 注意 直到 时 刻 ! 的 误差 信号 的 积分 是 直到 时 刻 : 的 累积 误差， 
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因此 该 项 的 作用 是 说 明 直到 目前 的 累积 误差 。 常 量 K 称 为 积分 增益 ， 控 制 器 通过 


该 因子 改变 累积 误差 。 


e 导数 项 Ke: 该 项 的 作用 与 误差 的 变化 率 有 关 。 常 量 Ky 称 为 导数 增益 ， 控 制 器 通 


过 该 因子 改变 误差 的 变化 率 。 


注意 PID 控制 器 中 的 比例 构件 是 无 状态 的 。 积 分 构件 中 有 一 个 状态 变量 zr 用 来 反映 
累积 误差 ， 该 状态 变量 的 变化 率 等 于 误差 e。 导 数 构 件 有 一 个 状态 变量 zp 用 来 存储 误差 
e， 该 导数 构件 的 输出 是 该 状态 变量 的 一 阶 导数 。 在 图 6-15 中 ， 使 用 标准 公约 ， 用 带 符号 
5 的 圆圈 表示 加 法 构件 。 这 样 的 构件 简单 地 输出 输入 信号 的 和 ， 其 中 输入 信号 上 的 负 号 表 
示 对 应 的 输入 应 该 被 减 掉 。 在 具体 的 控制 设计 中 ， 有 些 构件 可 能 被 略 去 。 例 如 ， 比 例 控 制 
aie CP 控制 器 ) 只 有 比例 构件 ， 比 例 和 积分 控制 器 (PI 控制 器 ) 中 只 有 比例 和 积分 构件 。 这 两 


种 控制 器 在 实际 中 很 常见 。 

直流 电动 机 的 PID 控制 器 

为 了 理解 上 述 各 项 如 何 影响 控制 的 
性 能 ， 让 我 们 再 重新 回顾 直流 电动 机 的 
比例 控制 器 ( 见 图 6-14)。 比 例 增益 Kp 
越 高 意味 着 上 升 时 间 越 小 但 超 调 越 大 。 
过 高 的 比例 增益 Kp 也 会 导致 大 的 振 
荡 ， 延 长 调整 时 间 。 

单纯 的 比例 控制 器 存在 稳 态 误差 。 
积分 项 的 效应 可 以 消除 稳 态 误差 。 
6-16 显 示 了 直流 电动 机 的 PI 控制 器 ， 
其 中 Kp=100 和 Ki 二 200( 其 他 参数 的 
值 保持 不 变 )。 注 意 ， 现 在 输出 值 稳定 
于 期 望 值 1( 稳 态 值 不 为 0， 但 是 非常 
小 )， 但 是 超 调 增 大 30%， 这 是 不 可 接 
受 的 ; 同时 上 升 时 间 和 调整 时 间 也 增 大 
了 ( 相 较 于 单纯 的 比例 控制 器 ) 。 高 积分 
增益 Ki 带 来 了 更 好 的 响应 性 ， 但 是 增 
大 了 超 调 。 

为 了 降低 超 调 ,我 们 需要 导数 构 
件 。 图 6-16 也 显示 了 直流 电动 机 的 PD 
控制 器 的 响应 ， 其 中 Kp = 二 100、Kbp 二 
10( 所 有 其 他 参数 的 值 保 持 不 变 )。 已 经 
没有 超 调 ， 但 是 由 于 输出 的 稳 态 值 为 
0. 9rad/s， 所 以 稳 态 误差 仍然 很 大 。 

明智 地 使 用 上 述 3 个 构件 可 以 得 到 
更 好 的 性 能 : 图 6-17 显示 了 直流 电动 
机 的 PID 控制 器 的 响应 ， 甚 中 为 Kp = 
100、 玫 0 三 10、K 一 200。 现 在 稳 态 误 
差 已 经 不 显著 了 ， 没 有 超 调 ， 调 整 时 间 
是 0. 4s。 


PI 控制 器 


转动 速度 (rad/s) 





0 0.5 1 2 2,5 3 


1.5 
时 间 Cs) 


图 6-16 带 PI、PD 控制 器 的 直流 
电动 机 的 输出 响应 


转动 速度 (rad / s) 






0 0.5 1 2 2.5 3 


1.5 
时 间 Cs) 


6-17 带 有 PID 控制 器 的 直流 
电动 机 的 输出 响应 
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巡航 控制 器 

让 我 们 回顾 图 6-3 所 示 的 汽车 模型 。 巡 航 控制 器 的 输入 是 汽车 的 输出 ， 即 车 速 o 和 参 
考 值 ( 也 就 是 驾驶 员 设 置 的 期 望 速度 ) 。 控 制 器 的 目标 是 提供 输入 力 下 ， 这 样 使 得 车 速 等 
于 参考 值 。 

首先 ， 采 用 比例 控制 器 进行 设计 。 闭 环 系统 的 动态 性 为 ; 

= (F— Bye 

F = Kp(r— vo) 
如 果 我 们 设 定 初 始 速度 vo 等 于 0， 质量 m SF 100kg. MRAM SF 50， 期 望 速度 x 等 
于 10m/s， 比 例 增益 K,=600; BBA HEr AY ee Eo an 6-18 所 示 。 这 里 有 一 个 明显 
的 稳 态 误差 : 当 驾 驶 员 想 要 增 大 10m/s 的 速度 时 ， 它 只 增长 了 9m/s。 注 意 调整 时 间 大 约 
为 10s， 还 算 合 理 。 增 大 Ks 的 值 会 降低 稳 态 误差 ,但 是 也 会 显著 地 降低 调整 时 间 ， 这 可 
能 导致 高 加 速 引起 的 乘客 的 不 适 感 。 

为 了 消除 稳 态 误差 ， 我 们 可 以 增加 
一 个 积分 构件 。 注 意 ， 由 于 没有 超 调 ， 
所 以 我 们 不 需要 导数 构件 。 对 于 所 有 其 
他 参数 的 相同 值 ，PI 控制 器 的 (Kp = 
600 和 Ki 三 40) 速度 响应 如 图 6-18 所 
示 。 这 种 情况 的 阶 路 响应 看 起 来 很 完 
美 : 速度 递增 10m/s 大 约 需 要 7s， 没 
有 超 调 ， 在 期 望 保持 稳定 且 具 有 小 的 稳 

注意 PI 巡航 控制 器 的 基本 设计 没有 
显著 地 依赖 汽车 的 模型 ， 但 是 增益 常量 0 i i 
Ka RRi a nran  %° 7 * © Soe Meee 
来 获得 。 对 于 不 同 的 汽车 模型 ， 例 如 ， h ; 

对 于 在 有 梯度 路 面 上 的 汽车 或 者 具有 不 5 a eee 
同 参 数值 m Mk 的 汽车 ， 需 要 获取 合适 的 增益 常量 Kp. Ki. 
让 我 们 回顾 在 2. 4. 2 节 中 讨论 的 同步 构件 GruiseController 的 设计 。 构 件 Con- 
trolSpeed 确实 可 以 像 上 面 讨 论 的 PI 控制 器 那样 实现 。 两 个 输入 变量 Speed 和 GruiseSpeed 
分 别 为 观测 速度 及 期 望 速度 ,控制 器 的 输出 为 力 。 然 而 ， 在 连续 世界 与 离散 世界 之 间 存 在 
语义 上 的 不 一 致 : 2. 4. 2 中 的 构件 通过 离散 方式 与 其 他 构件 进行 交互 ， 变 量 的 取 值 范围 是 
自然 数 ; 而 汽车 模型 和 PI 控制 器 是 处 理 实 值 信号 的 连续 时 间 构 件 。 两 者 之 间 的 间隙 通常 
通过 这 样 的 手段 来 弥补 : PI 控制 器 的 通常 实现 是 在 离散 区 间 对 速度 进行 采样 ， 并 且 控 制 
器 处 理 的 值 是 经 过 四 舍 五 和 人 的 有 限 精 度 的 数字 。 这 种 离散 化 可 能 引入 误差 .这 意味 着 基于 
模型 的 分 析 不 能 取代 对 集成 所 有 构件 的 最 终 系统 的 广泛 测试 。 
练习 6. 20: 回顾 练习 6. 10 中 的 线性 单 摆 模型 。 我 们 将 使 用 这 个 线性 化 模型 的 比例 导数 (PD) 控 制 器 。 反 
馈 控 制 通过 式 wx 一 Kop 十 Kog 给 出 ， 这 里 我 们 需要 选择 合适 的 增益 K, 及 Kp。 写 出 包含 单 所 
线性 模型 和 PD 控制 器 的 组 合 的 闭环 系统 方程 。 参 数值 K, 及 Ko 为 多 少时 闭环 系统 是 稳定 
的 ? 假定 质量 m 与 长 度 4 的 关系 为 ml? = 二 1(kg. m*) 及 mgl 二 1(N. m), {EH MATLAB 软件 仿 
真 不 同 增益 值 K, 及 Kw 的 闭环 系统 。 可 以 选择 某 个 合适 的 初始 位 置 及 初始 角速度 。 用 不 同 
的 参数 值 进行 试验 。 绘 制 并 讨论 所 得 的 结果 。 

练习 6.21* : 图 6-18 显示 了 汽车 对 PI 控制 器 的 响应 。 假 定 我 们 把 同样 的 控制 器 用 于 图 6-8 所 示 的 有 梯度 


速度 (m/s) 
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路 面 的 汽车 模型 中 。 考 虑 对 路 面 梯度 的 正弦 变化 建 模 的 输入 信号 为 6() 三 (sin(t/5))/3( 单 
位 是 弧度 )。 针 对 这 个 输入 ， 使 用 同样 的 参数 ， 绘 制 响应 PI 控制 器 的 汽车 速度 : 初始 速度 
w SFO, 质量 mm 等 于 100kg， 摩 擦 系数 等 于 50， 重 力 加 速度 g 等 于 9.8m/s*， 参考 速度 
r 等 于 10m/s， 比 例 增益 Kp 等 于 600， 积 分 增益 Ki 等 于 40。 


6.4 分 析 技 术 ” 


给 定 一 个 连续 时 间 构 件 的 模型 ， 模 型 可 能 包括 被 控 对 象 模 型 、 反 馈 控制 器 、 对 初始 值 
及 扰动 的 约束 ， 我 们 想 分 析 这 个 系统 的 行为 。 我 们 首先 讨论 基于 数值 模拟 的 传统 方法 ， 接 
着 讨论 基于 约束 的 技术 来 验证 稳定 性 及 安全 性 需求 。 


6.4.1 数值 模拟 


考虑 一 个 具有 状态 变量 S 及 输入 变量 工 的 连续 时 间 构 件 。 定 义 在 状态 变量 及 输入 变量 
的 函数 三 描 述 了 状态 的 变化 率 。 给 定 一 个 输入 信号 TI， 它 作为 时 间 和 初始 状态 so 的 函数 ， 
它 将 值 赋 给 输入 ， 初 始 条 件 为 S(0) 三 ;。 ， 那 么 系统 的 状态 演化 函数 ， 可 以 通过 求解 微分 方 


程 $==f(S， 了) 获得。 虽然 对 于 某 些 特殊 形式 的 函数 f， 可 以 求 取 状 态 响应 S50#) 在 时 刻 的 
闭合 式 解 ， 但 计算 这 个 信和 号 更 通用 的 方法 是 应 用 数值 模拟 。 对 于 数值 模拟 ， 用 户 提 供 离散 
步 长 参数 A， 模 拟 器 试图 计算 在 时 刻 A，2A，3A，… 的 状态 值 ， 并 使 其 值 与 期 望 响 应 信号 
S() 的 值 尽 可 能 接近 。 模 拟 算法 只 在 时 刻 A，2A，3A，… 采 集 输入 信号 1(t)， 因 此 模拟 的 
结果 取决 于 输入 信号 的 离散 序列 uos ui, ue, oo, Hp wi 是 在 任意 时 刻 上 一 这 输入 信号 
TOWE. 

欧 拉 方 法 

欧 拉 方法 依赖 于 期 望 状态 信号 5S 的 变化 率 的 观测 值 ， 即 在 时 刻 t:，d S/di 是 当 增 量 A 趋 
近 于 0 时 量 (S(t 十 A) 一 S(1))/A 的 极限 。 因 此 ， 对 于 很 小 的 增 量 A 的 值 ， 可 以 用 下 式 来 近 
似 S(t 十 A) 的 值 : 

SC 十 A) = S) + Af(S@),1()) 

这 个 近似 假定 在 时 间 间 隔 Lt:，t 十 A) 内 状态 的 变化 率 是 常量 ， 且 状态 的 变化 率 等 于 时 
Alt 的 变化 率 。 使 用 时 刻 z 的 输入 值 和 状态 值 对 函数 f 进行 评估 来 获得 时 刻 t 的 状态 变化 
率 。 通 过 将 状态 变化 率 乘 以 时 间 间 隔 大 小 A 获得 状态 值 的 变化 。 因 此 ， 给 定 状 态 的 初始 值 
so 及 输入 信号 的 值 序列 uos urs us, oo, DIT S= FCS, 了) 的 欧 拉 方法 计算 下 列 
的 值 序列 : 

Sun 三 $5 十 Af(sisuU), i Do 
在 每 个 时 刻 i€E time， 状 态 S(z) 的 值 通过 上 述 的 序列 值 利用 外 推 法 求 得 : 对 于 每 个 i=0 及 
A ELA, iA+A), SC)=s,+C—iAd) fls;, u;). 

龙 格 - 库 塔 方法 

欧 拉 方法 通过 假定 在 时 间 间 隔 内 的 状态 变化 率 是 常量 (该 变化 率 基 于 该 时 间 间 隔 的 起 
始 时 刻 的 状态 ) 来 估计 在 该 时 间 间 隔 的 终止 时 刻 的 状态 。 如 果 利 用 该 时 间 间 隔 终 止 时 刻 的 
状态 变化 的 估计 值 来 估计 导数 变化 ,那么 可 以 得 到 较 好 的 近似 。 并 且 这 也 可 以 用 于 重新 调 
整 状 态 估计 龙 格 - 库 塔 方法 包含 基于 这 个 思想 的 流行 的 数值 积分 方法 。 特 别 是 ， 三 阶 龙 格 - 
库 塔 方法 通过 下 式 计算 状态 sii: 





ki = f(s;.u), 
| = f(s; + Aki sua), 
Say = Si F ACK +h2)/2 
给 定 当 前 的 状态 s 和 输入 zx ， 第 一 步 计 算 k 作为 当前 的 变化 率 。 然 而 ， 不 同 于 欧 拉 
方法 设置 时 间 时 隔 的 终止 时 刻 的 状态 sa 为 % 十 AR ， 第 二 步 使 估计 的 该 状态 值 计算 时 间 段 
终止 时 刻 的 变化 ko 的 变化 率 ( 时 间 段 终止 时 刻 的 输入 值 w+ 用 于 评估 )， 第 三 步 假 设 时 间 
段 期 间 的 变化 率 为 常量 ， 但 等 于 两 个 值 kis ke 的 平均 值 ， 计算 Sit+1 o 
更 高 阶 的 龙 格 - 库 塔 方法 使 用 相同 的 基本 思想 ， 但 使 用 中 间 点 及 端点 导数 的 估计 来 计 
算 加 权 平 值 。 实 践 中 ， 最 常用 的 方法 是 四 阶 龙 格 - 库 塔 方法 。 它 通过 下 式 来 计算 状态 s+ 
ky = f(s;,uj), 
ko = fs, + Aky/25 Cu; + ua)/2), 
ks = f(s; F Ako /25(u; uni)/2), 
ky = f(s; + Akg sti) s 
Sua = s; + ACR + 2ke + 2ks + i) /6 
近似 
为 了 更 好 地 理解 这 些 模拟 技术 如 何 近 似 期 望 函数 ， 我 们 考虑 一 个 一 维 线性 微分 方程 : 
三 s， 该 方程 没有 输入 ,初始 状态 so 二 2。 我 们 已 经 知道 该 方程 的 解 为 信号 3(t) 二 2e'。 
对 于 数值 模拟 ， 我 们 选择 间隔 的 步 长 300 
4A 为 0.1。 在 时 间 间 隔 为 [0，5] 时 ， 利 用 欧 
拉 方 法 及 二 阶 龙 格 - 库 塔 方法 求解 的 仿真 曲 。“” 
线 如 图 6-19 所 示 。 注 意 ， 欧 拉 方 法 引入 显 200| . 
著 的 累积 误差 : 用 欧 拉 方 法 求解 的 55) 
于 234.78， 而 用 二 阶 龙 格 - 库 塔 求解 的 结果 
为 294. 54。 在 本 例 中 ， 选 用 四 阶 龙 格 - 库 塔 100 | 
方法 只 会 稍微 提高 准确 度 。 由 于 二 阶 与 四 yr Vf Wee 
阶 方法 产生 的 模拟 曲线 的 差别 不 是 很 大 ， 30 : ear 
所 以 在 图 6-19 中 并 没有 显示 四 阶 龙 格 - 库 塔 和 £ PEN 
方法 产生 的 模拟 曲线 ， 但 是 用 四 阶 方法 产 G0 Le 8S 2 pti © 35 4 ay 5 
生 5(5) 的 数值 为 296. 83， 该 值 与 2es 一 致 。 
还 应 该 注意 到 ， 如 果 用 MATLAB 中 的 标 图 6-19 两 种 不 同 的 模拟 算法 比较 
准 求解 器 并 绘制 例 程 图 来 模拟 上 述 的 微分 方程 ， 则 得 到 的 模拟 曲线 与 四 阶 龙 格 - 库 塔 方法 
产生 的 模拟 曲线 一 样 。 
通过 降低 模拟 步 长 A 可 以 提高 采用 数值 模拟 获得 的 近似 质量 。 模 拟 工具 自动 调整 步 长 
参数 以 便 保持 小 的 误差 。 特 别 地 ， 可 能 在 模拟 的 每 一 步 中 ， 也 可 以 采用 自 适应 技术 动态 地 
改变 A 的 值 来 调整 当前 变化 率 。 
练习 6. 22: 考虑 一 个 单 维 线性 微分 方程 3 一 *。 假 定 初 始 状态 为 % ， 数 值 模拟 采用 的 间隔 步 长 为 A。 对 于 
欧 拉 方 法 ,求解 so. A 和 ?的 函数 二 步 模拟 后 状态 *。 的 闭合 解 。 用 数据 部 一 2、4A 王 0. 1、7 一 
50 和 sso =234. 78 来 验证 ( 见 图 6-19). 
练习 6. 23: 考虑 一 个 单 维 线性 微分 方程 5 一 *。 假 定 初始 状态 为 y ， 数 值 模拟 采用 的 间隔 步 长 为 A。 对 于 
二 阶 龙 格 = 库 塔 方法 ， 求 解 ss、A 和 的 函数 n HRD sn 的 闭合 解 。 用 数据 s =2, A= 
0.1, n=50 和 soo =294. 54 来 验证 ( 见 图 6-19) 。 
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6.4.2 栅栏 函数 


在 第 3 章 中 ， 我 们 关注 了 (离散 的 ) 迁 移 系 统 的 安全 性 验证 问题 : 给 定 一 个 迁移 系统 及 
安全 状态 集合 ， 系 统 的 每 个 可 达 状 态 是 安全 的 吗 ? 现在 我 们 再 回顾 连续 时 间 构 件 的 这 个 
问题 。 

安全 性 验证 

考虑 一 个 闭合 连续 时 间 构 件 互 (没有 输入 )， 它 有 状态 变量 S 初始 化 过 程 由 Init 给 出 ， 


动态 性 由 $= f(S) 给 定 。 对 于 每 个 初始 状态 ss € Init]， 系 统 有 一 个 唯一 的 响应 信和 号 ， 系 
统 的 可 达 状 态 集合 是 所 有 这 些 响 应 信号 所 经 历 状 态 的 集合 : 
Reach={S(t)|S(0)E[Init] E Etime》 

给 定 一 个 状态 属性 p， 安 全 性 验证 的 问题 是 确定 集合 Reach 中 每 个 状态 是 否 满足 属性 
pgp。 例如 ， 属 性 gq 可 以 断言 参考 信号 与 系统 输出 之 间 误 差 的 大 小 小 于 某 个 常量 86， 违反 这 个 
属性 表示 出 现 一 个 不 可 接受 的 超 调 。 

数值 模拟 是 理解 从 具体 初始 状态 开始 的 动态 系统 行为 的 有 效 技 术 。 当 我 们 知道 初始 状 
态 属 于 一 个 集合 时 ， 模拟 工具 需要 从 给 定 集合 中 选择 不 同 值 的 初始 状态 并 进行 多 次 模拟 。 
该 种 方法 不 能 穷尽 所 有 的 集合 元 素 ， 所 以 我 们 需要 一 些 蔡 代 的 技术 来 解决 这 个 问题 。 

一 种 自然 的 方法 是 采用 3. 4 节 中 的 符号 可 达 性 算法 的 方式 形成 一 种 符号 模拟 算法 。 然 
而 ， 此 种 方法 即便 是 针对 线性 构件 也 具有 很 大 的 挑战 性 。 为 了 说 明 这 种 困难 ， 我 们 考虑 一 
个 二 维 线性 系统 ， 其 动态 性 为 : 

Sı =— Tsp sz 

yi = 8s, — 10s, 

假定 初始 状态 集合 是 一 个 矩形 区 域 ， 由 下 式 给 出 : 
Init = 5<5 <6 A-l<e <1 

图 6-20 显示 了 这 个 初始 集合 ， 同 时 显示 了 当时 初始 状态 取 和 矩形 的 4 个 拐角 点 时 的 系 
统 响 应 。 所 有 这 些 系 统 响 应 都 收敛 于 原点 ; 4 
这 并 不 是 巧合 : 已 证 明 状 态 迁 移 矩 阵 的 两 
个 特征 值 都 是 负数 ， 因 此 该 系统 是 渐 近 稳 3 
定 的 ( 见 定理 6. 3) 。 

从 图 6-20 中 可 以 明显 地 看 出 ， 系 统 的 
可 达 状 态 集合 Reach 具有 复杂 形式 : ER .1 
是 凸 面 的 ， 虽然 用 线性 约束 来 描述 初始 集 
合 , 但 是 线性 约束 并 不 足以 描述 集合 0 
Reach。 因 此 ， 不 可 能 利用 符号 方法 来 准确 
地 计算 可 达 集 合 。 

归纳 不 变量 ne i Pees 

在 第 3 章 中 ， 我们 研究 了 利用 归纳 不 Z TO T2 A OT 
变量 的 原理 来 证 明 ( 离 散 的 ) 迁 移 系 统 的 安 È pi 
全 性 需求 。 为 了 说 明 属性 p 是 迁移 系统 工 BER eA C Rear 
的 不 变量 ， 我 们 寻找 属性 g, HE DRE y 的 每 个 状态 也 满足 pg; DRA 工 的 初始 状态 满 
Eg: 3) 如 果 状 态 * HEY, GC. OR 工 的 一 个 迁移 ， 那 么 状态 t REWE gp. RIET 
一 种 类 似 的 方法 用 来 建立 给 定 状 态 的 属性 是 连续 时 间 系 统 的 不 变量 。 
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让 我 们 回顾 图 6-20 RAMA AR. BEREE —4<s, <4 描述 属性 是 系统 的 不 
变量 。 在 图 6-21 中 ， 我 们 想 说 明 ， 如 果 初 始 状 态 位 于 矩形 区 域内 ， 那 么 系统 的 执行 状态 会 位 
于 两 条 水 平 线 $2 二 4 与 5 二 一 4 之 间 。 6 

与 归纳 不 变量 证 明 一 样 ， 第 一 步 识别 
“强化 的 ”更 。 对 于 连续 时 间 构 件 ， 用 将 
状态 映射 为 实数 的 函数 和 于: read" re- 
al 来 描述 期 望 的 强化 区 域 ， 也 就 是 说 ， 
定义 在 状态 变量 S 上 的 实 值 表达 式 。 满 足 
方程 V(S)=0 的 状态 集合 称 为 栅栏 。 满 
足 公式 更 (S) 过 0 的 状态 集合 ， 即 ， 栅 栏 
中 的 状态 集合 ， 类 似 于 归纳 不 变量 。 栅 栏 
需要 满足 3 个 要 求 : 第 一 个 要 求 是 建立 满 
EPOSO 的 每 个 状态 也 满足 期 望 的 安 .6 je aed 
全 性 属性 p。 等 价 地 ,如 果 二 个 状态 违反 二 一) 8 
了 属性 p， 那 么 函数 Y 的 值 一 定 是 正 的 。 
第 二 个 要 求 是 说 明 每 个 初始 状态 % 都 满足 Ei a ee 
Ws KO , EDINA CEB BE NZPA EF HEP WI OSE A AR AS E FR PE HR 
态 分 离 ， 所 有 不 安全 的 状态 都 在 栅栏 外 ， 所 有 初始 状态 都 在 顶 栏 内 。 

对 于 图 6-21 中 的 例子 ， 通 过 下 面 的 函数 来 描述 栅栏 : 

Ws) 552) = 7s? — 65,52 + 2853 — 320 

方程 Vs) =0 描述 了 图 中 的 椭圆 。 初 始 状态 位 于 椭圆 内 ， 而 不 安全 状态 (也 就 是 ， 位 
于 直线 总 一 4 上 面 的 区 域 以 及 直线 ,二 一 4 下 面 的 区 域 ) 位 于 椭圆 外 。 

第 三 个 要 求 是 在 离散 迁移 系统 中 ， 对 应 于 说 明 由 系统 迁移 保存 的 归纳 不 变量 在 连续 时 


间 构 件 中 ， 用 微分 方程 $ 王 7(S) 描 述 的 随时 间 变化 的 状态 的 连续 演化 代替 了 离散 迁 转 。 说 
明 违 反 不 变量 的 系统 响应 S(D) 必 须 从 位 于 栅栏 内 的 某 个 初始 状态 开始 ， 并 且 访 问 位 于 栅栏 
外 的 某 个 不 安全 状态 。 系 统 响 应 是 连续 可 微 函 数 ， 因 此 它 不 能 “跳跃 ”到 栅栏 外 。 如 果 根 
据 系统 的 动力 学 特性 建立 栅栏 ， 那 么 系统 的 响应 信号 将 不 可 能 穿越 该 栅栏 。 

为 了 理解 上 述 要 求 的 条 件 ， 考 虑 图 6-21 所 示 的 例子 。 在 给 定 的 (3 ，y 7 状态 ， 状 态 si 
的 值 以 速率 js) 三 一 7% +52 变化 ， 状 态 s 的 值 以 速率 f(s.) =8s,—10s, 变化 。 因 此 ， 状 
Eo ) 沿 着 给 定 动态 性 f 给 出 的 矢量 (一 75 十 wy ，8s: 一 10s;) 演 化 。 观 察 到 函数 更 的 值 
总 是 沿 着 上 述 矢 量 的 方向 减 小。 特别 地 ， 如 果 状 态 栅 栏 上 ( 即 椭圆 的 边界 上 )， 那 么 矢量 场 
是 指向 内 部 的 。 这 说 明 如 果 在 时 刻 t 系统 的 状态 位 于 栅栏 上 ， 那 么 在 时 刻 tc 十 dt 系统 的 状 
态 一 定位 于 其 内 部 。 显 然 ， 系 统 执 行 不 能 从 内 部 到 外 部 跨越 栅栏 。 

李 导 数 

李 导 数 (Lie derivative) 是 用 来 形式 化 地 描述 函数 亚 的 值 沿 着 矢量 方向 递减 的 需求 的 数 
学 概念 。 表 达 式 亚 与 动态 性 S 描述 的 矢量 场 相 关 ， 表 达 式 V HRR RARESA yY 


表示 ， 并 且 表 达 式 V 的 值 的 变化 率 是 状态 变量 S 的 函数 ， 而 状态 按照 动态 方程 $= f(S) 
DET WL. PMG, SSAC ERM Y 沿 着 矢量 场 f 的 方向 导数 。 
函数 亚 的 李 导 数 可 以 从 关于 状态 矢量 的 每 个 坐标 的 函数 秋 的 偏 导数 计算 出 来 : 
LS) = >) (aw/as) f(s) 
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在 我 们 的 例子 中 ， 状 态 矢量 是 二 维 的 : 
LV Csi +52) = (P/s) fC.) + COW/Os2) fs) 
=(14s, — 6s.) (— 7s, + 52) + (— 6s, +565, ) (85; — 10s) 
=— 146s? — 566s} + 564s, s2 

亚 是 栅栏 函数 的 第 三 个 要 求 在 属于 栅栏 函数 的 所 有 点 函数 Lj 的 值 都 是 负 的 。 这 点 确 
保 对 于 栅栏 上 的 每 一 个 状态 *， 当 状态 s 根据 动态 性 f 演化 时 函数 亚 (s) 递 减 。 

回 到 我 们 的 例子 ， 验 证 表达 式 146s? — 56653 +564s:s: 除了 在 栅栏 边界 上 外 ， 总 是 有 
负 值 。 

上 面 概述 的 技术 需求 其 是 表达 式 V 描述 应 该 是 光滑 函数 的 函数 。 光 滑 函 数 是 所 有 的 
导数 、 高 阶 导数 及 偏 微分 存在 的 函数 。 这 确保 李 导 数 是 良好 定义 的 。 在 图 6-21 的 例子 中 ， 
函数 亚 是 二 次 函数 且 是 光滑 的 。 每 个 多 项 式 函 数 都 是 光滑 的 函数 。 不 连续 的 函数 不 是 光 
滑 的 ， 这 意味 着 分 离 初始 状态 和 坏 状 态 的 栅栏 函数 不 可 能 是 矩形 (或 者 多 面体 ) 。 

用 栅栏 函数 建立 不 变量 的 证 明 技 术 总 结 如 下 。 

定理 6. 6( 使 用 栅栏 函数 的 安全 性 验证 ) 令 电表 示 一 个 封闭 连续 时 间 构 件 ， 其 状态 变 
量 是 S， 初 始 变量 为 nit, 动态 方程 是 S 二 了 (S)。 为 了 说 明 状 态 属性 gp 是 系统 是 的 所 有 可 
达 状 态 集 合 中 的 不 变量 ， 寻 找 状态 变量 上 的 光滑 实 值 表 达 式 亚 ( 称 为 栅栏 函数 ) 就 足够 了 ， 
使 得 1) 如 果 Init(S) 成 立 ， 那 么 PSO; 2) 如 果 gp(S) 不 成 立 ， 那 么 WS)>0; 3) 关 于 矢量 
场 f 的 炙 的 李 导 数 是 负 值 ， 对 于 所 有 边界 属于 栅栏 函数 :( 如 果 亚 (S) 二 0 PALM) (S< 
0) 的 状态 。 


证 明 : 令 及 表示 闭合 连续 时 间 构 件 ， 其 状态 变量 是 S， 初 始 化 为 Init， 动 态 方程 是 $= 
f(S)。 令 状态 变量 上 的 实 值 表达 式 Vv 是 一 个 栅栏 函数 。 即 ， 亚 在 所 有 初始 状态 中 的 值 都 
是 非 正 的 ， 在 违反 属性 的 所 有 状态 中 值 亚都 是 正 的 ， 关于 矢量 场 SOV 的 李 导 数 都 是 
负 的 ， 对 于 所 有 状态 TEO. a 

我 们 想 证 明 系 统 H 的 每 个 可 达 状 态 都 满足 属性 pp。 通过 反 证 法 来 证 明 。 假 定 存 在 一 个 
不 满足 p 的 可 达 状 态 。 那 么 存在 一 个 系统 响应 信号 S 和 时 刻 上 ”Etime， 使 得 S(0) 为 初始 
状态 并 且 S(z" ) 不 满足 属性 p。 让 我 们 定义 函数 Y: time — real, W VO =PS0)). 
因为 函数 亚 是 两 个 连续 性 函数 的 组 合 ， 所 以 它 是 连续 函数 。 

由 于 每 个 初始 状态 中 的 亚 的 值 都 是 非 正 的 ， 所 以 我 们 知道 亚 (0) 三 0。 由 于 每 个 不 安 
全 状态 中 的 函数 V 的 值 都 是 正 的 ， 所 以 我 们 知道 Wo) >O, MR Y EEE, T 
存在 一 个 时 刻 t 使 得 亚 (r)= 二 0 且 VO) >0, WFAA AST t HE eet’, BEM, 
表达 式 (d/dz) 亚 (+t) 等 于 在 状态 5. =SOMESR LY. HF VO) =0, MARAA 
Vs =0, 根据 假设 ， 栅栏 函数 上 的 状态 s HESALY 的 值 必须 都 是 负 的 。 

对 于 连续 函数 Y, AFDE = 二 0; 2) 更 (为 之 0， 对 所 有 的 时 间 七 ， 使 得 r<e<t’; 
3)(d/dt) 亚 (zr) 二 0， 不 能 同时 成 立 ， 这 产生 了 矛盾 。 

如 何 选 择 栅栏 函数 

定理 6.6 给 了 我 们 一 个 建立 线性 安全 性 和 非 线 性 连续 时 间 系 统 的 通用 方法 。 有 效 使 用 
该 方法 的 关键 是 选择 函数 更 使 得 它 满足 所 有 必要 的 假设 。 下 面 我 们 说 明 如 何 选择 线性 系 
统 的 函数 。 类 似 的 技术 也 在 用 于 建立 连续 时 间 系 统 的 稳定 性 ， 该 技术 文献 中 称 为 李 雅 普 
方法 。 

给 定 一 个 nn 维 的 连续 时 间 系 统 ， 其 动态 方程 为 S= /CS)， 我 们 选择 一 个 对 称 的 n HER 
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阵 P 及 常量 k， 定 义 函 数 为 V: 
YCS) = S™PS +k 

我 们 知道 如 果 一 个 矩阵 的 转 置 等 于 该 矩阵 ， 那 么 该 矩阵 称 为 对 称 和 矩阵 ( 即 上 三 角 元 素 [284] 
与 下 三 角 元 素 相等 )。 上 述 定义 的 函数 亚 是 一 个 定义 在 状态 变量 上 的 二 次 表达 式 ， 是 光滑 
PA. HERE A 定义 状态 的 动态 性 。 关 于 动态 性 的 表达 式 V 的 李 导 数 通 过 下 式 给 定 : 

(LaW)(S)= (d/dt) (STPS +k) = STPS + S™PS 
= STATPS + STPAS = S™(A™TP+ PA)S 

FRE ME P H 4IP 十 P4 。 观 察 到 矩阵 P' 也 是 对 称 和 矩阵 。 表 达 式 亚 的 李 导 数 由 二 
次 表达 式 STP'S 给 出 。 更 是 栅栏 函数 的 第 三 个 需求 可 以 通过 线性 代数 矩阵 得 到 很 好 的 理 
解 : MRM 已 是 负 定 的 ， 那 么 对 于 所 有 的 状态 S， 量 S P'S- EER, WERE P 
的 所 有 特征 值 都 是 负 的 ， 那 么 它 保证 满足 这 个 条 件 。 这 样 ， 给 定 动态 矩阵 4， 选择 期 望 的 
对 称 和 矩阵 P 的 系数 使 得 由 此 产生 的 矩阵 P 有 人 负 的 特征 值 。 一 旦 我 们 确定 了 和 矩阵 了 ， 我 们 需 
要 选择 用 袖 栏 函数 亚 定 义 的 系数 & 使 得 它 将 初始 状态 与 不 安全 状态 中 分 离 出 来 。 

我 们 回顾 图 6-20 所 示 的 二 阶 连续 时 间 系 统 。 动 态 和 矩阵 通过 下 式 给 定 : 


A= 


$ | 
P= 
36 &-28 


$1 


我 们 选择 对 称 和 矩阵 也 为 : 


可 以 观察 到 


28 


系数 上 等 于 一 320， 这 样 表达 式 S PS 十 & 在 初始 矩形 中 是 负 的 ， 在 不 安全 状态 中 是 正 的 。 
李 导 数 为 SIP'S， 其 中 对 称 和 矩阵 PH: 
= 8 7-3 7 .—3)(—7 1 — 146 388 
| 1 sabii a val | 8 -i= | 282 bia 
可 以 看 到 矩阵 P 的 确 是 对 称 的 。 如 果 我 们 计算 它 的 特征 值 ， 我 们 得 到 一 5.2984 和 
一 11.7016。 这 说 明和 矩阵 P' 是 负 定 的 。 这 意味 着 表达 式 STP'S， FF 7si—6s, +2853, th 
总 是 负 定 的 。 285 
练习 6. 24: 为 了 建立 一 个 图 6-21 MARKEE, KREME BRACE Tsi 一 6515; 十 28 号 十 &， 其 中 是 常 
量 。 为 了 使 产生 的 函数 是 栅栏 函数 ,上 的 可 能 选择 是 什么 ? 
练习 6. 25" ; 假设 我 们 用 更 弱 的 条 件 “ 如 果 WCS)=0, WALO” KRESNA “RAR 
亚 是 栅栏 函数 ”( 也 就 是 说 ， 用 李 导 数 只 能 是 非 正人 代替 对 于 栅栏 上 的 状态 李 导 数 是 负 的 )。 
使 用 这 个 修改 后 的 定义 ,根据 现 有 的 栅栏 函数 ， 我们 能够 推导 出 属性 p 是 不 变量 吗 ? 证 明 
或 驶 斥 你 的 答案 。 
练习 6. 26” : 这 个 练习 关注 在 MATLAB 中 实现 一 个 工具 ， 该 工具 能 够 对 一 维 动态 系统 进行 符号 可 达 性 
分 析 。 
实数 集合 的 闭 区 间 记 为 [a， 5]， 其 中 4a， bE real 并 且 a 志 5， 对 应 于 实数 集 在 a Md 
之 间 的 所 有 实数 。 一 维 动态 系统 的 状态 是 实数 。 这 样 的 状态 集合 可 以 自然 地 表示 为 闭 区 间 
的 并 集 。 例 如 ，[0，1]U[4，5j 是 集合 {XE real |0XNr<1V 4 和 声 x 声 5}。 为 此 ， 我 们 限制 


ti = 
SPS (5 w| 3 | |= Tsi = 6s +285 


s2 
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区 域 的 数据 类 型 是 这 些 闭 区 间 的 并 集 ， 每 个 这 样 的 区 域 的 形式 为 A==U,[a;,， bj]。 

第 一 部 分 : 实现 一 个 计算 这 些 区 域 的 编程 库 。 第 一 步 是 选择 数据 结构 来 表示 区 域 。 你 
的 表示 形式 应 该 保证 区 间 互 不 相交 。 确 保 空 集 也 要 能 正确 地 表示 。 简 洁 而 严格 地 解释 在 你 
的 实现 中 的 如 下 操作 : 1) 区 域 的 并 (Disj 操作 ); 2) 区 域 的 差 (Diff 操作 ); 3) 包 含 测试 
(函数 Issubpset(4，B 返回 1)， 当 区 域 A 是 区 域 B 的 子 集 时 ; 4) 空 测试 (IsEmpty 操 
W); 5) 区 域 的 和 (函数 Sum(A, B), 返回 集合 {zx 十 y|x EA，yEB} 的 表示 ); 6) 区 域 与 标 
量 的 积 ( 函 数 Product (A4，a)， 返 回 集合 {az |x € A) 的 表示 ); 7) 区 域 的 平方 (操作 
Square(4)， 返 回 集合 {z |zEA4}) 的 表示 )。 

第 二 部 分 : 考虑 一 个 动态 系统 的 离散 化 表示 ， 它 的 形式 为 Dyra =f (oes we REO 
其 中 r, € real ERS, u 是 属于 区 域 U 的 控制 输入 ，f 表示 系统 的 动态 性 。 初 始 状 态 集 
合 是 Init。 用 Reach 表示 在 第 & 步 的 可 达 状 态 集合 ， 也 就 是 说 ，Reachx 是 所 有 状态 xz HR 
合 使 得 存在 一 条 从 某 些 状态 r E Init 开始 的 系统 执行 ， 在 某 些 控制 输入 wos wis s u 
F, MKR URKERS zc, = 2 时 结束 。 所 有 可 达 状 态 的 集合 Reach 是 Reach= Urso 
Reach, 。 考 虑 使 用 广度 优先 搜索 来 计算 区 域 Reach 的 连续 值 直到 最 大 迭代 数 N 。 一 旦 没有 
新 的 状态 添加 到 Reach 中 或 者 已 经 迭代 N 次 ， 算 法 就 应 该 终止 。 使 用 在 第 一 部 分 开发 的 
库 函 数 来 实现 这 个 算法 。 假 设 集合 Init MU 都 是 区 域 ， 也 就 是 说 ， 闭 区 间 的 并 集 ， 并 且 可 
以 用 第 一 部 分 考虑 的 操作 来 描述 动态 性 f。 请 用 下 面 的 例子 来 测试 你 的 实现 。 在 每 个 例子 
中 ， 报 告 算法 是 如 何 终 止 的 ， 并且 在 哪 一 步 输出 Reach( 用 它 的 最 小 形式 作为 不 相交 闭 区 
间 的 并 集 )。 

《IT7z =—0. 952, Furs Init=[l, 2]; U=[—0.1, 0.1], N=100 

(2241 =—0. 962, Fuz» Init=[1, 2], U=[—0.1, 0.1], N=100 

(3) 2y47=—-0. 952, Furs Init=[1, 2], U=[—0.2, 0.2], N=100 

(4) a44,=0. 5x4 Furs Init=[1.8, 1.89], U=[0, 0.1], N=40 

(5) y+, =0. 522? tüz, Init=[1.8, 1.9], U=[0, 0.1], N=40 


参考 文献 说 明 


本 章 讨 论 的 核心 主题 ， 也 就 是 ， 使 用 微分 方程 的 动态 系统 模型 、 稳 定性 、 线 性 系统 和 
使 用 线性 代数 概念 的 分 析 技 术 ， 几 十 年 来 在 控制 领域 中 研究 并 且 出 现在 许多 教科 书 中 。 我 
们 的 表述 是 基于 Antsaklis 和 Michel 的 教材 LAM06]， 其 中 一 些 例子 来 源 于 [FPE02]、 
[LV02] 和 [LS11]。 

为 了 获取 使 用 PID 控制 器 的 实际 控制 设计 的 详细 介绍 ， 请 参考 [AH95] (或 者 登录 
www. mathworks. com 网 站 获取 使 用 MATLAB 设计 PID 控制 器 的 教程 )。 

利用 栅栏 函数 来 验证 安全 性 属性 的 方法 在 LPJ04j 中 有 详细 介绍 ， 我 们 关于 这 个 主题 的 
讨论 是 基于 [TAB09] 的 表示 (也 可 以 参考 [Pla10] 和 [TT09] 关 于 使 用 该 证 明 技 术 在 可 靠 性 、 
完整 性 和 变量 等 方面 的 讨论 )。 

本 章 中 的 数值 计算 和 图 形 绘制 都 是 使 用 工具 箱 MATLAB 获得 的 (参考 [LSH92 ] 来 获取 
利用 MATLAB 进行 控制 设计 的 介绍 ， 也 可 以 登录 www. mathworks. com 网 站 获得 使 用 
MATLAB 的 知识 )。 
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在 计算 的 同步 模型 中 ， 所 有 构件 以 锁 步 执行 ， 并 且 一 个 构件 的 输出 结果 需要 与 输入 的 
接收 同步 。 在 计算 的 异步 模型 中 ， 所 有 进程 以 各 自 独立 的 速度 执行 ， 一 个 进程 的 输入 接收 
与 输出 的 结果 之 间 有 一 个 不 确定 的 延迟 。 现 在 我 们 把 注意 力 转 移 到 计算 的 时 间 模 型 中 ， 在 
计算 的 时 间 模 型 中 ， 进 程 不 是 严格 地 同步 以 循环 序列 执行 ， 而 是 依赖 于 全 局 物理 时 间 来 实 
现 松散 形式 的 同步 。 时 间 模 型 允 我 们 表示 某 些 现象 ， 例 如 , “执行 任务 以 5ms 为 周期 感知 
温度 ”,“ 输 入 值 的 接收 与 相应 输出 响应 之 间 的 延迟 为 2 一 4ms”， 以 及 “如 果 应 答 在 4ms 之 
内 没有 收 到 ， 就 重 发 ”。 


7.1 时 间 进 程 


时 间 进 程 的 形式 化 计算 模型 是 第 4 章 中 的 异步 进程 模型 的 变种 。 我 们 首先 用 例子 来 解 
释 这 个 模型 。 


7.1.1 基于 时 间 的 电灯 开关 


考虑 一 个 使 用 单一 按钮 的 电灯 开关 ， 它 具有 一 个 内 置 的 计时 器 ， 用 来 控制 一 个 具有 两 
个 强度 的 灯泡 。 开 关 最 初 处 于 关闭 状态 。 当 它 被 按 下 一 次 ， 它 就 在 昏暗 的 强度 上 打开 ， 如 
果 按 钮 被 连续 快速 地 按 下 两 次 ， 那 么 灯 在 明亮 的 强度 上 打开 。 这 里 ; 快速 意味 着 在 连续 按 
下 事件 之 间 的 持续 时 间 小 于 1s。 如 果 连 续 按 下 事件 之 间 的 延迟 超过 1s， 那 么 第 二 次 按 下 
事件 就 解释 为 关 灯 命令 。 

该 系统 可 用 时 间 进 程 Lightswitch KÆR., WE 7-1 所 示 。 它 有 一 个 输入 通道 
press, press 接收 对 应 于 开关 按 下 的 事件 。 使 用 扩展 状态 机 方法 来 说 明 动 态 性 。 在 这 个 例 
子 中 ， 该 模型 有 3 种 模式 : dim, bright 和 off。 该 进程 使 用 clock 类 型 的 状态 变量 z。 
与 异步 进程 类 似 ， 时 间 进 程 有 输入 、 内 部 和 输出 动作 : 输入 动作 接收 输入 通道 的 输入 值 ; 
输出 动作 在 输出 通道 上 产生 输出 值 ， 内 部 动作 只 更 新 状态 变量 ， 不 涉及 任何 输入 或 输出 通 
道 。 在 每 一 个 这 样 的 动作 中 ， 时 钟 变量 采用 与 其 他 状态 变量 一 样 的 方式 进行 测试 和 更 新 。 
该 模型 的 一 个 显著 新 特点 是 时 间 进 程 也 有 捕获 时 间 流 逝 的 时 间 动 作 。 时 间 动 作 的 持续 时 间 
6 可 以 是 任意 正 实数 ， 每 个 时 钟 变量 的 值 以 增 量 6 递增 。 不 是 clock 类 型 的 状态 变量 称 为 离 
散 变 量 ， 例 如 进程 LightSwit 的 状态 变量 mode。 在 时 间 动 作 中 ， 离 散 状 态 变 量 保持 不 变 。 


press? 人 (x > 1) 





clockx:=0 


Ce press? >x := 0 (ain) press? 人 (x < 1) Goo) 


press? 


图 7-1 电灯 开关 的 时 间 模 型 


进程 EightSwit 最 初 的 模式 为 off， 时 钟 变量 z 为 0， 该 进程 等 待 输入 事件 press, 
等 待 8 的 时 间 周 期 可 用 持续 时 间 6 的 时 间 动 来 建 模 。 经 过 该 动作 后 ， 进 程 Lightswit 
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的 模式 仍然 是 off. 但 时 钟 变量 z 的 值 等 于 65;。 当 接收 到 输入 事件 press 时 ， 进 程 
LightSwit 把 模式 更 新 为 dim， 并 重 置 时 钟 变量 z 为 0。 当 进程 在 模式 dim 等待 时 ， 时 
钟 变量 z 的 值 就 是 捕获 当 模 式 切 换 从 off 到 dim 出 现时 所 需 的 时 间 实 例 流逝 。 在 模式 
dim 总 持续 时 间 长 度 8 的 等 待 对 应 于 持续 时 间 2 的 时 间 动 作 ， 这 样 的 时 间 动 作 后 的 时 钟 变 
E z 的 值 等 于 9: 。 当 随后 输入 事件 press 发 生 时 ， 时 钟 变量 z 的 值 用 来 决定 进程 Lights- 
wit 是 否 将 模式 更 新 为 bright 或 off， 这 由 模式 dim 的 两 个 模式 切换 的 守卫 条 件 中 
(eS DAGSD HAR <x) A(eSl) RR. ER. WR z 的 值 正好 是 1( 即 两 个 连续 
press 事件 之 间 的 持续 时 间 是 18)， 那 么 这 两 个 模式 切换 是 使 能 的 ， 因 此 ， 该 模型 的 行为 是 
非 确定 性 的 ， 它 既 可 切换 为 模式 bright， 也 可 以 切换 为 模式 off。 当 进程 LightSwit 
处 于 模式 bright 时 ， 只 要 进程 接收 到 下 一 个 输入 事件 它 就 会 切换 到 初始 模式 off. 

进程 EightSwit 的 一 个 可 能 的 执行 如 下 所 示 ， 其 中 每 一 个 状态 由 模式 和 时 钟 变 量 x 
的 值 来 指定 : 


2.3 press? 0.2 0.5 
Coff,0) > < CoffsZ. 3) = (dim,0) — (dim,0. 2) i 


CAD e > Gright 0.7) ~—>Cbrights3.7)— > CER a7) 
注意 ， 在 该 进程 执行 过 程 中 ， 两 个 时 间 动 作 一 个 接着 一 个 。 在 此 情况 下 ， 持 续 时 间 为 
Oy 的 时 间 动 作 紧 接着 持续 时 间 为 e 的 时 间 动 作 的 效应 ， 与 持续 时 间 为 e Hee K E ah EE 
相同 的 。 


7.1.2 有 界 延 迟 的 缓冲 器 


作为 第 二 个 例子 ， 让 我 们 考虑 一 个 容量 为 1 带 一 个 输入 通道 in 和 一 个 输出 通道 out 的 
时 间 缓 神器 ， 它 们 的 类 型 均 为 msg。 每 当 一 个 输入 值 输入 到 缓冲 器 时 ， 它 存储 在 内 部 离 
散 状态 变量 x 中 。 现 在 缓冲 器 已 满 ， 它 简单 地 忽略 (或 丢弃 ) 更 多 的 输入 ， 直 到 它 有 机 会 把 
存储 在 缓冲 器 的 值 输出 到 输出 通道 。 时 间 假 设 是 输入 值 的 接收 与 相应 输出 值 的 传输 之 间 的 
延迟 至 少 为 LB 和 至 多 为 UB 时 间 单 位 ， 其 中 常量 LB 和 UB 分 别 捕获 延迟 的 下 界 和 上 界 。 
延迟 的 上 界 和 下 界 的 形式 是 时 间 系 统 经 常 出 现 的 模式 。 

图 7-2 所 示 的 时 间 进 程 TimedBuf 使 用 msgx (y > LB) 一 out:=x 
时 钟 变量 捕获 期 望 的 时 间 行为 。 状 态 机 的 =o bein spa) A 
模式 表明 缓冲 器 是 空 的 还 是 满 的 。 最 初 ， 模 Se 
式 为 Bmpty。 当 从 通道 in 接收 到 输入 时 ， 
将 该 消息 的 值 存储 在 状态 变量 = 中 ， 将 模式 0 
BHA Full, NP y 设 为 0。 随 着 时 间 的 流逝 当 该 进程 的 模式 等 于 Full 时 ， 时 钟 y 的 
值 捕获 该 进程 已 经 在 该 模式 等 待 所 持续 的 时 间 。 在 模式 Full 接收 的 输入 事件 不 能 改变 组 
冲 器 状态 ， 这 可 以 通过 对 应 于 模式 Full 的 自 循环 模式 切换 来 建 模 。 对 应 于 输出 动作 的 模 
式 切 换 的 守卫 条 件 为 (y 宇 LB)。 因 此 ， 捕 获 假 设 : 只 有 在 小 于 延迟 下 界 后 ， 缓 冲 器 才 可 以 
在 它 的 输出 通道 上 发 送 消 息 。 

关于 上 界 的 假设 ， 也 就 是 说 ， 保 证 进程 在 接收 输入 的 UB 时 间 单 位 内 产生 输出 ， 可 以 
在 模式 Full HARAR yun 来 描述 。 如 果 模 式 为 Full 并 且 时 钟 y 的 值 等 于 6， 那么 
只 有 在 整个 迁移 过 程 中 时 钟 y 的 值 随 着 时 间 增 长 ， 守 卫 条 件 y 二 UB 成 立时 (也 就 是 ， 只 有 
条 件 8 十 8 <KUB 成 立 ) ， 持 续 时 间 为 8 的 时 间 动 作 才 被 允许 。 在 时 间 动 作 中 ， 进 程 和 它 的 
环境 在 时 间 的 传输 上 同步 。 进 程 想 要 在 时 钟 y 到 达 UB 前 发 送 输出 ， 这 样 进程 愿意 让 时 间 
流逝 直到 某 个 极限 。 与 模式 Full 关联 的 条 件 y<UB 称 为 时 钟 不 变量 。 时 钟 不 变量 与 模式 
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相关 联 ， 守 卫 条 件 与 确保 在 时 延 的 下 届 和 上 界 内 的 模式 切换 相关 联 。 

在 一 般 情 况 下 ， 进 程 的 每 个 模式 都 有 一 个 相关 联 的 时 钟 不 变量 ， 它 是 时 钟 变量 以 及 进 
程 可 能 的 其 他 离散 状态 变量 的 表达 式 。 当 与 模式 相关 联 的 时 钟 不 变量 为 常数 1 时， 这 意味 
着 不 论 进程 在 该 模式 等 待 多 久 都 不 存在 上 界 。 在 此 情况 下 ， 我 们 省 略 这 个 条 件 表达 式 ， 与 
进程 TimedBuf 的 模式 Empty 和 进程 Lightswitch 的 所 有 模式 都 相同 ， 如 图 7-1 所 示 。 


7.1.3 多 个 时 钟 


我 们 考察 一 个 使 用 两 个 时 钟 的 时 间 进 程 的 例子 ， 如 图 7-3 所 示 ， 该 时 间 进 程 有 一 个 输 
入 通道 in 和 输出 通道 out, 和 outs 。 如 果 在 时 间 :在 通道 in 上 有 一 个 输入 事件 发 生 ， 那 么 
进程 响应 该 事件 ， 在 时 间 记 在 通道 out 产生 一 个 输出 事件 ， 随 后 在 时 间 ts 在 通道 outs 产 
生 一 个 输出 事件 ， 使 得 1) 延 迟 #1 一 t 最 多 是 1，2) 延 迟 t, 一 t 是 最 多 2; 3) 延 迟 所 一 所 至 少 
是 1。 这样， 将 通道 out;s 上 的 输出 事件 的 发 生 限 制 在 一 个 时 间 间 隔 内 ， 该 间隔 取决 于 该 通 
道上 前 面 的 输入 事件 的 时 间 以 及 通道 out, 上 的 输出 事件 的 时 间 。 进 程 不 接受 通道 in 上 的 
输入 ， 直 到 它 已 经 发 出 两 个 输出 事件 。 


clockx,y:=0 






(y = 1) —out,! 
7-3 带 有 两 个 时 钟 的 时 间 进 程 


期 望 的 约束 使 用 两 个 时 钟 变量 x 和 y 来 表示 。 初 始 时 ， 模式 为 Idle， 两 个 时 钟 变 量 
都 等 于 0。 在 模式 Idle 等 待 的 持续 时 间 6 可 用 持续 时 间 8 的 时 间 动 作 来 建 模 ， 它 把 两 个 
时 钟 变量 的 值 都 更 新 为 8。 当 一 个 输入 事件 发 生 时 ， 进 程 把 时 钟 z 设置 为 0， 而 时 钟 y 保 
持 为 8S， 并 且 把 模式 更 新 为 wait1。 在 模式 Wait 等 待 持续 时 间 5 递增 时 钟 z 为 6 ,递增 
时 钟 y 为 6 十 6"。 只 有 当 工 的 值 不 超过 1 时 才 人 允许 这 样 的 时 钟 行动 ， 因 为 与 模式 waiti 相 
关 的 时 钟 不 变 zx 委 1。 在 时 钟 z 的 值 超过 1， 输 出 事件 out, 可 以 任何 时 间 事 件 上 发 生 之 前 。 
此 时 ， 进 程 切换 到 模式 wait2， 时 钟 变量 y 重 置 为 0， 时 钟 变量 x 的 值 表示 在 模式 Wait1 
所 花费 的 时 间 。 当 进程 的 模式 为 Wait2 时 ， 两 个 时 钟 随时 间 递 增 ， 时 钟 变量 z 的 值 表 示 
从 输入 事件 发 生 流逝 的 时 间 ， 时 钟 变量 y 的 值 表示 从 输出 事件 出 现在 输出 通道 out 上 流 
逝 的 时 间 。 与 模式 Wait2 相关 联 的 时 钟 不 变量 22 和 与 从 模式 Wait2 到 模式 Idle 的 模 
式 切 换 相关 联 的 守卫 条 件 (y 宇 1) 描 述 了 在 通道 out: 上 的 输出 事 发 生 的 期 望 时 间 约 束 。 下 面 
是 进程 的 一 个 执行 例子 ， 其 中 每 个 状态 都 由 下 列 模式 、 时 钟 变量 z 的 值 和 时 钟 变量 y 的 值 
来 说 明 。 

out; | 


9:7 in? 0.6 
(Idle,0 ,0) =>; (Idle, 9 Tide 7) FR (Waitl 20,5. 7) a on (Waitl 90> 6,6. 3) F 


(Wait2,0. 6,0) => (Wait2;1. 1,0. 5) > (Wait2,1. 941.3) > (Idle,1.9,1.3) 
需要 注意 的 是 ， 如 果 我 们 限制 进程 只 使 用 一 个 时 钟 ， 那 
么 ， 就 不 能 准确 地 表示 期 望 的 时 间 约束 。 
我 们 考虑 另 一 个 时 间 进 程 的 例子 ， 图 7-4 所 示 的 进程 [ODA GSD o 
TimedInc， 该 进程 是 图 4-2 所 示 的 异步 进程 AsyncInc 的 [A Sy ees yO} 
修改 版 本 。 进 程 rimedInc 有 两 个 离散 的 状态 变量 x, Ax, 





图 7-4 具有 并 行 递增 功能 的 
它们 都 初始 化 为 0， 并 分 别 由 内 部 任 A, 和 AGES. RT eh 
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与 异步 进程 AsyncInc 不 同 ， 这 两 个 任务 的 执行 顺序 是 不 再 完全 不 受 约束 。 任 务 A WE 
续 执 行 之 间 的 时 间 延 迟 至 少 是 1 并 且 至 多 是 2 个 时 间 单 位 。 使 用 时 钟 变量 yi 说 明 这 个 约 
R: 它 的 初始 值 是 0， 只 有 当 满 足 守 卫 条 件 (yi 宇 1) 时 任务 Ai 才 可 以 执行 ， 该 任务 的 执行 
将 时 钟 变量 y 重 置 为 0， 时 钟 不 变量 有 合 取 (yi 三 2)， 该 条 件 保证 从 它 最 近 一 次 执行 开始 
的 超过 两 个 时 间 单 位 流逝 前 ， 任 务 A 必须 执行 。 时 钟 y; 采 用 类 似 的 方式 ， 确 保 任务 A; 的 
连续 执行 之 间 的 时 间 延 迟 至 少 是 1 并 且 至 多 是 2 个 时 间 单 位 。 

虽然 这 两 个 任务 A 和 A, 没有 任何 共同 的 变量 ,但 事实 是 两 个 时 钟 变量 y, 和 yo FE 
个 任务 执行 时 ， 需 要 在 一 个 时 间 动 作 约 束 的 相关 频率 内 递增 相同 的 持续 时 间 量 。 特 别 地 ， 
考虑 任务 A, 执行 两 次 而 不 执行 任务 A 的 进程 的 执行 。 这 样 的 一 次 执行 则 具有 以 下 的 形式 
(以 下 列 顺序 状态 列 出 变量 Hin My Xo 和 yo): 


(0 405040) (0 409d, > (1504058) ) > (1 Be 6000 +82) —> (2005008) +82) 

基于 任务 A 的 守卫 条 件 ， 我 们 知道 5 三 1 和 2 三 1， 并 且 基 于 时 钟 不 变量 ， 我 们 可 以 
得 出 9 十 2 委 2。 仅 当 8 =el 时 可 以 满足 这 些 约束 ， 因 此 在 执行 任务 Ai 两 次 后 的 状态 
中 ， 时 钟 % 必 须 为 2。 这 意味 着 ， 在 该 状态 中 ， 时 间 没 有 流逝 ， 唯 一 可 能 的 动作 是 任务 A 
的 执行 。 因 此 ， 变 量 zz 必须 在 变量 xi 递增 3 次 前 至 少 递增 1 次 。 


7.1.4 形式 化 模型 


回顾 4. 王 节 关 于 异步 进程 的 定义 : 一 个 异步 进程 PP 有: 

1) 一 个 输入 通道 类 型 的 有 限 状 态 集合 工 _ 它 定义 形 如 z?v 的 输入 集合 ， 其 中 zET，z 
的 一 个 值 是 v。 

2) 一 个 输出 通道 类 型 的 有 限 状态 集合 0， 它 定义 形 如 ylv 的 输出 集合 ， 其 中 >yE0，y 
的 一 个 值 是 wv。 

3) 一 个 有 限 状态 变量 集合 S， 它 定义 状态 集合 Qs. 

4) 一 个 初始 化 Init， 它 定义 初始 状态 集合 LInit]<<Qs。 

5) 对 于 每 个 输入 通道 xz， 输入 任务 的 集合 A, 的 每 个 输入 任务 由 S 上 的 守卫 条 件 和 从 


读 集 合 SU {zx) 到 写 集合 S 定 义 了 具有 st 形式 的 输入 动作 集合 的 更 新 来 描述 。 
6) 对 于 每 个 输出 通道 y， 输 出 任务 集合 4 的 每 个 输出 任务 由 S 上 的 守卫 条 件 和 从 读 


集合 SU {y) 到 写 集合 S 定义 了 具有 s >t 形式 的 输出 动作 集合 的 更 新 来 描述 。 
7) 内 部 任务 集合 A 的 每 个 内 部 任务 由 S 上 的 守卫 条 件 和 从 读 集合 S 到 写 集合 S 的 更 新 


定义 了 具有 s 一 >t 形式 的 输出 动作 来 描述 。 

我 们 将 时 间 进 程 的 形式 化 模型 定义 为 上 述 异 步 进程 定义 的 扩展 。 输 入 变量 、 输 出 变 
量 、 状 态 变量 、 输 入 任务 、 输 出 任务 、 内 部 任务 输入 动作 、 输 出 动作 和 内 部 动作 的 表示 不 
变 。 另 外 ， 还 增加 了 时 钟 不 变量 ， 它 是 状态 变量 上 的 布尔 表达 式 ， 用 来 定义 持续 时 间 8 的 
时 间 动 作 。 给 定 状 态 s( 它 是 所 有 状态 变量 的 值 ) 和 一 个 正 实数 8， 设 ;十 6 表示 把 值 s(x) 十 6 
赋值 给 每 个 时 钟 变量 zx 并 把 值 ; Cy) 赋值 给 每 个 离散 状态 变量 y 的 状态 。 从 状态 s 开始 的 持 
续 时 间 6 后 的 时 间 动 作 产生 的 状态 是 状态 s 十 8。 当 时 钟 不 变量 说 明 的 布尔 条 件 在 这 个 间隔 
中 遇 到 的 所 有 状态 中 成 立时 ， 才 允许 这 样 的 时 间 动 作 。 时 间 进 程 的 定义 总 结 如 下 。 


时 间 进 程 
时 间 进 程 TP 包括 : 





e 一 个 异步 进程 PP， 其 中 一 些 状态 变量 可 以 是 clock 类 型 ， 和 
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o 一 个 时 钟 不 变量 CI， 它 是 一 个 状态 变量 S 上 的 布尔 表达 式 。 
时 间 进 程 TP 的 输入 、 输 出 、 状 态 、 初 始 状 态 ， 内 部 动作 、 输 入 动作 、 输 出 动作 与 


异步 进程 的 相同 。 给 定 一 个 状态 s 和 一 个 实数 值 时 间 3>>0， 如 果 对 于 所 有 值 0 之 :过 6， 
状态 sto 满足 表达 式 C1， 那么 ;一 x; 十 6 是 时 间 进 程 TP 一 个 的 时 间 动 作 。 





对 于 图 7-2 所 示 的 时 间 进 程 TimedBuf， 它 所 包含 的 各 种 构件 如 下 所 示 : 
它 有 一 个 类 型 为 msg 的 输入 通道 in。 
e 它 有 一 个 类 型 为 msg 的 输出 通道 out. 
它 有 一 个 类 型 为 枚 举 型 {Empty，Ful1}) 的 (离散 ) 状 态 变量 mode、 类 型 为 msg 的 变 
E r 和 类 型 为 clock 的 变量 y, 
o 时 钟 变量 y 的 初始 值 是 0，mode 变量 的 初始 值 是 Empty， 变 量 x 的 初始 值 是 无 约 
东 的 。 
e 有 一 个 处 理 输入 通道 in 的 输入 任务 ， 它 的 守卫 条 件 是 1( 也 就 是 说 ， 该 任务 总 是 使 
能 的 ) ， 更 新 操作 对 应 于 图 7-2 所 示 的 扩展 自动 机 等 价 于 : 
if(mode=Empty)then({mode *=Full; x :=in} 

有 一 个 在 输出 通道 out 上 产生 输出 的 任务 ， 该 任务 的 守卫 条 件 是 : (mode= Full) A y> 
LB， 对 应 的 更 新 代码 是 : out =r, 

© 它 没 有 内 部 任务 。 

@ 时 钟 不 变量 CI 由 下 式 给 出 

(mode= Full1)—~(ySUB) 
TER: 当 模 式 为 Empty 时 ， 时 钟 不 变量 没有 设置 约束 条 件 。 可 以 自动 实现 从 扩展 状 
态 机 表示 到 时 间 进 程 的 形式 化 定义 的 转换 。 
时 间 动 作 的 定义 要 求 从 状态 s 开始 ， 如 果 状 态 s 十 6 在 时 间 间 隔 L0，5j 内 的 每 个 时 刻 t 
都 满足 时 钟 不 变量 ,那么 持续 时 间 $ 的 时 间 动 作 就 是 可 能 的 。 通 常 ， 用 于 时 钟 不 变量 的 表 
达 式 是 时 钟 变 量 值 的 凸 函 数 ， 因 此 它 足 以 检查 开始 状态 和 终止 状态 :十 8 都 满足 时 间 不 
变量 。 
与 异步 进程 中 的 情况 一 样 ， 时 间 进 程 的 操作 语义 可 以 通过 定义 它 的 执行 来 获得 。 执 行 
开始 于 初始 状态 ， 通 过 执行 一 个 输入 动作 、 输 出 动作 、 内 部 动作 或 在 每 一 步 的 时 间 动 作 来 
进行 。 需 要 注意 的 是 ， 一 个 异步 进程 的 输入 、 输 出 和 内 部 动作 交叉 执行 。 然 而 ， 在 时 间 动 
作 期 间 ， 属 于 不 同 进 程 的 时 钟 都 一 样 递增 ， 反 映 了 相同 全 局 时 间 的 推移 ， 因 此 ， 时 间 动 作 
可 以 同步 执行 。 这 就 是 为 什么 有 时 候 这 种 模型 又 称 为 部 分 同步 模型 。 
练习 7. 1: 考虑 一 个 具有 一 个 输入 事件 zx、 两 个 输出 事件 y 和 > 的 时 间 进 程 。 每 当 该 进程 在 通道 zx 上 接收 
一 个 输入 事件 时 ， 它 就 在 通道 y 和 x 上 发 生 输 出 事件 ， 使 得 1) 在 x? 与 y! 之 间 的 延迟 为 2 一 4 
个 时 间 单 位 ; 2) 在 z? Mz! 之 间 的 时 间 延 迟 为 3 一 5 个 时 间 单 位 ; 3) 当 该 进程 正在 等 待 发 出 它 
的 输出 时 ,任何 额外 的 输入 事件 都 将 被 忽略 。 请 设计 一 个 时 间 状 态 机 对 上 述 描 述 建 模 。 

练习 7.2: 考虑 一 个 具有 两 个 输入 事件 zx 和 y、 一 个 输出 事件 = 的 时 间 进 程 。 最 初 ， 进 程 正在 等 待 接收 输 
人 事件 z?。 如 果 该 事件 发 生 在 时 间 :， 则 进程 在 通道 y 等 待 接收 输入 。 如 果 事 件 y? 发 生 时 间 
t 十 2 之 前 ， 或 者 在 时 间 :十 5 之 前 不 发 生 ， 则 进程 只 简单 返回 到 初始 状态 。 如 果 在 时 间 :十 2 到 
时 间 上 十 5 之 间 某 个 时 间 z' 收 到 事件 y?， 则 进程 在 时 间 :十 1 到 上 十 6 之 间 的 某 个 时 间 发 出 输出 
事件 <， 并 返回 到 的 初始 状态 。 意 外 的 输入 事件 (例如 ， 在 初始 模 态 中 的 事件 y) 将 被 忽略 。 请 
设计 一 个 时 间 状 态 机 对 上 述 描述 建 模 。 

练习 7:3: 考虑 一 个 具有 两 个 布尔 输入 变量 c 和 y、 一 个 布尔 输出 变量 = 的 异步 OR 门 。 假 定 所 有 变量 的 
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MAO. FF? 表示 输入 线 工 的 切换 ， 类 似 地 ， 事 件 y? 表示 输入 线 y 的 切换 。OR 门 可 

以 通过 发 出 事件 z! 来 改变 它 的 输出 。 要 求 的 时 间 行 为 通过 以 下 规则 来 说 明 : 

D 当 输 入 变量 在 时 间 改变 时 ， 如 果 这 种 改变 保证 输出 的 一 次 改变 (根据 OR 门 的 标准 逻辑 )， 
则 应 在 时 间 发 生 输 出 ， 使 得 延迟 ts 一 ti 为 2 一 4 个 时 间 单 位 (除非 输入 在 三 一 刀 间 隔 期 间 再 
次 改变 ;如果 是 这 样 ， 请 参见 下 面 的 规则 ) 。 

2) 当 输 出 的 改变 在 时 间 间 隔 [a ，zs ] 内 是 挂 起 的 时 ， 如 果 其 中 一 个 输入 变量 再 次 改变 ， 而 这 种 
变化 与 在 时 间 发 生 的 输出 改变 一 致 ， 则 输出 应 该 按 计 划 改 变 。 

3) 当 输 出 的 改变 在 时 间 间 隔 [t ，ss] 内 是 挂 起 的 时 ， 如 果 其 中 一 个 输入 变量 在 时 间 t 以 某 种 方 
式 改 变 以 便 使 输出 的 改变 与 修改 后 的 输入 不 一 致 ， 则 该 行为 取决 于 相对 差 1 一 t, : 如 果 这 个 
差 小 于 1， 则 挂 起 的 输出 改变 将 取消 ; 如 果 它 大 于 1， 则 输出 改变 将 在 时 间 ts 按 计划 发 生 ， 
并 且 在 那个 时 间 ， 安 排 另 一 个 输出 事件 在 2 一 4 个 时 间 单 位 的 延迟 后 发 生 。 

基于 上 述说 明 ， 请 设计 了 一 个 时 间 进 程 ( 作 为 有 一 个 时 钟 变量 的 扩展 状态 机 ) 对 OR 门 建 

模 。 这 个 进程 应 该 是 输入 使 能 的 : 它 应 该 允许 输入 事件 在 任何 时 候 发 生 。 


7.1.5 时 间 进 程 组 合 


时 间 进 程 可 以 用 方 框图 来 组 合 在 一 起 。 像 输入 -输出 变量 重 命名 和 输出 隐藏 等 操作 可 
以 用 通常 的 方法 来 定义 。 让 我 们 考虑 组 合 时 间 进程 的 操作 。 为 了 组 合 两 个 时 间 进 程 ， 我 们 
首先 使 用 在 4. 1 节 介 绍 的 异步 进程 组 合 操作 来 组 合 相 应 的 异步 进程 。 组 合 进程 的 时 钟 不 变 
量 仅 是 该 构件 进程 的 时 钟 不 变量 的 析 取 。 


时 间 进 程 组合 
对 于 两 个 时 间 进 程 : TP,=(CP,，CL)，TP: 王 CP:，Cls)， 使 得 这 两 个 进程 的 输出 


通道 不 相交 ， 并 行 组 合 TP, | TP; 是 一 个 时 间 进 程 ， 它 的 异步 进程 为 已 | P, 且 时 钟 不 变 
HA Ch ACh. 





因此 ， 可 以 根据 使 用 异步 组 合 的 构件 进程 的 相应 动作 获得 组 合 进 程 的 内 部 动作 、 输 入 
动作 和 输出 动作 。 时 钟 不 变量 的 合 取 意 味 着 持续 时 间 8 的 时 间 动 作 在 组 合 进程 中 是 可 能 发 
生 的 ， 仅 当 该 动作 对 于 每 个 构件 进程 等 待 持续 时 间 8 是 可 接受 的 。 对 于 进程 TP, 中 的 状态 


s 和 进程 TP, 中 的 状态 ss， 持 续 时 间 S>0， 当 os, +0 和 ss 一 xs 十 6 分 别 是 进程 TP， 


和 进程 TP, 中 的 时 间 动 作 时 ，(s, ，s:) 一 >(s1 十 8，ss 十 0) 也 是 组 合 进程 TP, | TP, 的 时 间 
动作 。 

时 间 状 态 机 的 积 

为 了 理解 进程 的 组 合 是 如 何 进行 的 ， 让 我 们 描述 时 间 进程 TimedBuf 的 两 个 实例 的 组 
合 ， 这 两 个 进程 实例 由 一 个 公用 输入 通道 并 行 连接 。 图 7-5 显示 了 对 两 个 进程 实例 的 变量 
进行 适当 的 重 命名 。 进 程 TimedBuf, 通过 延迟 (该 延迟 至 少 为 LB 时 间 单 位 ， 至 多 为 UB， 
时 间 单 位 ) 后 在 输出 通道 out 上 生成 输出 事件 来 响应 输入 通道 in 上 的 输入 事件 。Timed- 
Buf, 通过 延迟 (该 延迟 至 少 为 LB; 时 间 单 位 ， 至 多 TimedBuf 1 
为 UBs 时 间 单位 ) 后 在 输出 通道 out 上 生成 输出 事 。 msgin Tia, 
件 来 响应 输入 通道 in 上 的 输入 事件 。 我 们 利用 构 eer lees 
件 进 程 的 状态 机 的 积 ， 来 构建 获取 组 合 进 程 行为 的 
扩展 状态 机 ， 而 不 用 对 图 7-2 所 示 的 每 个 进程 的 扩 nage 
展 状态 机 进行 编译 来 形成 的 一 组 任务 描述 并 利用 组 po He nod 
合 操 作 计 算 组 合 进 程 的 任务 。 图 7-5 进程 rimedBuf 的 两 个 实例 的 组 合 













msg out, 





TimedBuf 2 
msg Xz 
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两 个 进程 的 并 行 组 合 的 行为 看 可 以 通过 图 7-6 所 示 的 扩展 状态 机 获得 。 由 于 每 个 构件 
有 两 种 可 能 的 模式 ， 所 以 组 合 进 程 有 4 种 模式 。 初 始 模式 为 BEE， 表明 两 个 构件 从 模式 
Empty 开始 。 当 处 理 通道 in 上 输入 时 ， 模 式 改变 为 FF( 也 就 是 说 ， 变 量 mode, 为 Full, 
变量 mode, HÆ Fu11)。 变 量 x, 和 yw 可 根据 第 一 个 进程 的 输入 动作 进行 更 新 ， 变 量 zs 和 
y 可 根据 第 二 个 进程 的 输入 动作 进行 更 新 。 


msg X;, Xz 
clock yj, yz:= 0 










Jı > LB, — out)! x, in? > yı > LB, — out! x, 
X,:= in; y,:= 0 


m= in; y= 0 


图 7-6 两 个 进程 TimedBut 的 组 合 的 状态 机 


模式 FF 对 应 于 当 每 一 个 进程 的 模式 都 为 FF 时 的 情况 。 这 个 模式 的 ， 时 钟 不 变量 为 
FW On SUB; 人 %% 委 0B: )。 因 此 ， 只 要 时 钟 y 不 超过 UBi 且 时 钟 ye 不 超过 vB, 则 组 合 
进程 就 只 能 在 该 模式 等 待 。 该 析 取 约束 条 件 反 映 了 这 两 个 构件 进程 关于 时 间 动 作 的 同步 
性 。 该 模式 可 以 通过 两 种 方式 改变 ， 这 取决 于 哪个 构件 进程 首先 产生 输出 。 如 果 第 二 个 构 
件 在 输出 通道 out, 上 发 出 它 的 输出 ， 则 模式 改变 为 FE( 也 就 是 说 ， 变 量 mode, 为 Full, 
变量 mode, 为 Empty)。 该 切换 由 条 件 (y; 宇 LB;s) 守 卫 ， 对 应 于 第 二 个 构件 的 输出 动作 的 
守卫 条 件 ， 第 一 个 构件 的 变量 在 此 切换 中 保持 不 变 。 在 模式 FE BY BP ARE EH Cy: SUB), 
因为 第 二 个 构件 对 这 模式 中 进程 等 待 多 长 时 间 没 有 限制 。 在 模式 FE， 如 果 第 一 个 构件 产 
生 它 的 输出 ， 则 模式 改变 为 EE; 如 果 接 收 输入 事件 ， 则 模式 切换 回 FF。 

需要 注意 的 是 ， 捕 获 延 迟 下 界 和 上 界 的 参数 值 确定 该 组 合 进程 的 可 能 执行 。 例 如 ， 如 
REA UBi 严格 小 于 下 界 LB;， 那 么 为 了 响应 一 个 初始 输入 事件 ， 保 证 第 一 个 构件 在 第 二 
个 构件 产生 输出 之 前 产生 输出 。 也 就 是 说 ， 从 模式 EE 到 模式 FF 的 模式 切换 是 通过 将 模 
式 切 换 到 模式 EF 来 保证 的 ， 因 为 在 违反 时 钟 不 变量 (yi 三 UBi) 前 , 不 能 满足 守卫 条 件 
(ys 宇 LBz)。 同 样 ， 如 果 上 界 UB: 严格 小 于 下 界 LB; ， 则 从 模式 EE 切 到 模式 FF 的 模式 切 
换 是 通过 将 模式 切换 到 对 应 于 第 二 个 构件 的 输出 的 模式 EF 来 保证 的 。 如 果 间 隔 LLBi， 
UB: JAILLB,, UB, ] 重 又 ， 那 么 ， 接 下 来 从 模式 EE 到 模式 FF 的 模式 切换 ， 有 两 种 场景 : 
第 一 个 进程 在 第 二 个 进程 之 前 产生 它 的 输出 ， 反 之 也 是 可 行 的 。 时 序 分 析 的 目的 是 发 现 哪 
些 事件 序列 与 时 间 约 束 一 致 ， 将 在 7. 3 节 讨 论 。 
练习 7.4: 图 7-6 显示 了 一 个 积 扩展 状态 机 ， 它 获得 图 7-5 所 示 的 时 间 进 程 TimedBuf 的 两 个 实例 的 组 合 

的 行为 。 现 在 考虑 时 间 进 程 TimedBuf 的 两 个 实例 的 串联 组 合 ， 如 图 7-7 所 示 。 请 绘制 捕获 该 
组 合 进 程 行为 的 扩展 状态 机 图 ， 该 状态 机 有 4 个 模式 和 两 个 时 钟 。 


TimedBuf 1 TimedBuf 2 


msg in | Msg x, msg temp | msg x, msg out 
clock y; clock y, 
{Empty, Full} mode, {Empty, Full} mode, 


7-7 进程 TimedBut 的 两 个 实例 的 串联 组 合 
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练习 7.5: 图 7-4 显示 了 时 间 进 程 Timedinc, Wi PIP IRE (a, S22, +2) MM (2,22, +2 RBRAR BN 
不 变量 。 


7.1.6 不 完全 时 钟 的 建 模 * 


在 我 们 的 时 间 进 程 的 模型 中 ， 时 钟 变量 值 的 增加 可 以 准确 获取 流逝 的 时 间 量 。 现 在 考 
虑 一 个 时 间 进 程 已 ， 进 程 PP 有 一 个 可 以 不 完全 测量 时 间 的 时 钟 变量 x 。 误 差 用 每 单位 飘移 
来 说 明 ， 比 如 0.01。 这 意味 着 ， 如 果 时 钟 z 的 值 以 1 为 单位 增加 ， 那 么 经 过 的 实际 时 间 可 
能 是 在 区 间 [0. 99，1. 01] 中 的 任何 值 。 在 一 般 情况 下 ， 如 果 飘 移 是 e， 进 程 在 时 间 t 把 
时 钟 变量 x 重 置 为 0， 并 发 现在 稍 后 的 时 间 实 例 志 满足 约束 LBS aus, MBAR LA SH 
论 流逝 的 时 间 i 一 至 少 为 LB(1 一 e) 且 至 多 为 UB(1 十 e)。 

虽然 我 们 的 基本 模型 明确 地 不 支持 这 样 的 不 完全 时 钟 的 模型 ， 但 我 们 可 以 通过 改变 时 
间 约 束 来 获得 由 此 产生 的 误差 。 作 为 一 个 例子 ， 考 虑 图 7-8 所 示 的 时 间 进 程 P， 它 采用 带 
DUS e 的 不 完全 时 钟 x 来 测量 时 间 。 与 模式 和 模式 切换 守卫 相关 联 的 时 钟 不 变量 意味 着 ， 
当 根 据 不 完全 时 钟 工 测量 时 ， 在 模式 A 进程 消耗 的 时 间 为 LB, ~ UB, 时 间 单 位 ， 在 模式 B 
进程 消耗 的 时 间 为 LB: ~ UB: 时 间 单 位 。 我 们 可 以 通过 使 用 一 完全 时 钟 y 的 时 间 进 程 已 来 
获得 相同 的 行为 。 与 模式 和 模式 切换 守卫 相关 联 的 时 钟 不 变量 可 通过 一 个 因子 e 放大 上 界 
和 通过 一 个 因子 e 缩放 下 界 来 修改 。 如 图 7-8 所 示 ， 我 们 将 IB(1 一 e) 简 写 为 TB 一 es 和 将 
UB(1 十 e) 简 写 为 UB 十 e。 进 程 P' 的 时 间 约 束 意味 着 该 进程 在 模式 A 消耗 的 时 间 为 LB1 1 —e) ~ 
UBi1(1 十 e)， 在 模式 B 消耗 的 时 间 为 LBs (1 一 e) 一 0B; (1 十 e)。 结 果 ， 带 有 不 完全 时 钟 的 进 
程 的 交互 行为 和 带 有 完美 时 钟 的 进程 了 “与 其 他 进程 间 的 交互 是 相同 的 。 


x:=0 (x > LB) >x:=0 (x > LB) > x:=0 





TEMAS HAN SE Phx tty Te) BE Fp . 


B 
ym OF Sapp Om tar) 2250 0) (y = LBF) >y:=0 
与 上 面 等 价 的 带 有 一 个 完全 时 钟 x 的 进程 p' 
图 7-8 用 完美 时 钟 模拟 带 漂移 的 不 完美 时 钟 
练习 7.6: 已 经 讨论 图 7-8 所 示 的 两 个 时 间 进 程 的 时 序 行为 是 相等 的 。 时 间 进 程 了 具有 一 个 飘移 为 e 的 不 
完全 时 钟 z， 时 间 进程 P' 具 有 完全 时 钟 y、 修 改 的 时 钟 不 变量 和 守卫 条 件 。 假 设 图 7-8 所 示 的 
时 间 进 程 ， 我 们 从 模式 A 到 模式 B 模式 切换 上 删除 时 钟 重 置 为 0 的 动作 。 即 考虑 进程 P 和 进 
程 P “在 删除 从 模式 A 到 模式 B 的 模式 切换 上 分 别 更 新 值 z :=0，y 二 0。 根 据 模式 切换 发 生 时 
的 相对 时 序 ， 由 此 产生 的 进程 还 相等 吗 ? 


7.2 基于 时 间 的 协议 

在 本 节 中 ， 我 们 通过 3 个 案例 研究 来 阐述 时 间 系 统 的 形式 化 设计 ， 这 3 个 案例 研究 
为 : 基于 时 间 假 设 实现 分 布 式 协 调 ; 在 不 完美 时 间 测 量 下 实现 可 靠 传输 ; 心脏 起 搏 器 的 设 
th, 为 心脏 提供 及 时 脉搏 ， 保 持 心脏 有 节奏 的 脉动 。 
7.2.1 基于 时 间 的 分 布 式 协 调 

在 第 4 章 中 ， 我 们 研究 了 如 何 解 决 那些 在 异步 计算 模型 中 分 布 式 进程 之 间 要 求 的 协调 
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问题 ， 即 不 对 参与 进程 之 间 的 相对 速度 做 任何 假设 。 在 本 节 中 ， 我 们 把 注意 力 放 在 解决 计 
算 时 间 模 型 的 问题 上 ， 其 中 依赖 关于 并 发 进程 的 相对 速度 的 时 间 假 设 设计 解决 方案 。 在 第 
4 章 中 ， 如 果 我 们 严格 限定 共享 变量 是 原子 寄存 器 ， 那 么 对 于 一 致 性 问题 没有 解决 方案 。 
然而 ， 如 果 我 们 假设 进程 连续 步骤 之 间 的 延迟 是 有 界 的 ， 则 这 些 边界 的 知识 可 以 用 于 解决 
只 使 用 原子 寄存 器 产生 的 一 致 性 问题 。 下 面 我 们 描述 了 一 个 基于 时 间 的 解决 方案 来 解决 经 
典 的 互 斥 的 经 典 协调 问题 ， 同 样 的 思想 可 以 用 于 解决 一 致 性 问题 。 

我 们 知道 互 斥 问题 主要 针对 允许 异步 进程 能 够 以 安全 的 方式 访问 关键 共享 资源 。 资 源 
的 分 配 不 受 由 中 央 协 调 器 的 控制 ， 但 进程 需要 使 用 原子 寄存 器 来 协调 它们 之 间 的 操作 。 安 
全 性 需求 是 互 斥 : 没有 两 个 过 程 应 该 同时 在 临界 区 内 。 活 性 需求 是 无 死 锁 : 如 果 某 个 进程 
要 想 进入 临界 区 ， 那 么 就 应 该 允许 它 进 入 临界 区 。 

基于 时 间 的 解决 方案 又 称 为 Fischer 协议 ， 它 采用 单个 共享 寄存 器 Turn ， 每 个 进程 都 有 
标识 符 myID， 其 时 间 状 态 机 的 执行 如 图 7-9 所 示 。 初 始 时 ， 寄 存 器 Turn 为 0， 模 式 为 Idle。 
没有 与 初始 模式 相关 的 时 钟 不 变量 ， 因 此 进程 在 该 模式 下 的 执行 时 间 长 度 可 以 任意 长 。 当 进 
程 要 进入 临界 区 时 ， 它 切换 到 模式 Test 。 然 后 ， 它 读 取 共享 寄存 器 Tun: 如 果 Turn =0, 
进程 把 模式 切换 到 set， 否 则 ， 进 程 返回 到 模式 Test ， 以 便 再 次 读 取 共 享 寄 存 器 。 


else 





(Turn = myID)? (x = A,)? 


图 7-9 基于 时 间 的 互 斥 


在 模式 Set， 进 程 的 下 一 步 是 将 共享 寄存 器 Turn 的 值 更 新 到 它 自 己 的 标识 符 。 可 以 
AB, WR Pi Turn 后 进程 P' 测 试 Turn， 那 么 进程 P' 将 不 得 不 在 模式 Test 等 待 。 
但 是 ， 如 果 两 个 进程 在 任何 一 个 进程 设置 Turn 前 测试 Turn， 那 么 协议 需要 解决 这 两 个 进 
程 之 间 的 竞争 问题 ， 以 便 只 有 一 个 进程 可 以 访问 临界 区 。 该 协议 假定 写 共 享 寄存 器 Turn 
至 多 花费 A, 个 单位 时 间 。 该 过 程 可 以 采用 时 钟 变量 z 和 与 模式 set 相关 的 不 变量 (zx 二 
Ai) 来 描述 。 更 新 Turn 后 ， 进 程 在 模式 Check 等 待 至 少 A, 个 单位 时 间 ， 通 过 模式 Delay 
切换 的 守卫 (zx 宇 A; ) 来 保证 该 延迟 。 当 进程 离开 模式 Delay 时 ， 它 再 次 读 取 共享 寄存 器 
Turn, JEN, (ASA. RNAS: 测试 Turn 是 0 并 设置 寄存 器 值 的 所 有 进程 已 
完成 它们 的 更 新 。 如 果 进 程 发 现 Turn 未 改变 ， 即 等 于 其 自身 的 标识 符 ， 则 该 进程 进入 临 
界 区 。 但 如 果 进 程 发 现 Turn 已 被 其 他 进程 重 写 ， 则 该 进程 通过 切换 回 模式 test 重 试 更 
新 Turn。 一 旦 在 临界 区 中 ， 即 在 模式 crit， 过 程 可 以 消耗 任意 的 时 间 ， 并 在 退出 时 ， 它 
将 Turn 重 置 为 0 并 返回 到 初始 模式 。 

”为 了 证 明 互 斥 ， 考虑 图 7-10 所 示 的 一 个 典型 执行 中 的 事件 序列 。 令 六 是 进程 己 离 开 
模式 Test 并 进入 模式 set 的 时 间 ， 即 当 进程 读 取 寄 存 器 Turn 并 发 现 它 是 0 的 时 间 。 令 
ts 是 进程 P 进入 模式 Delay 的 时 间 ， 即 当 它 设置 寄存 器 Turn 为 其 自己 的 标识 符 的 时 间 。 
& 是 进程 离开 模式 Delay 并 再 次 读 取 寄 存 器 Turn 的 时 间 。 时 间 约 束 确保 条 件 所 一 
万 宇 A; 成 立 。 有 了 时， 在 时 间 间 隔 三 一 二 的 某 个 时 间 ， 比 如 时 间 (如 图 7-10 所 示 )， 可 能 学 
试 进入 临界 区 的 其 他 某 个 进程 P' 也 要 读 取 共享 寄存 器 Turn， 且 其 值 为 0。 我 们 不 需要 担 
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心 在 十 之 前 尚未 进入 模式 Set 的 进程 ， 因 为 从 ts 开始 寄存 器 Turn 的 值 在 任何 时 候 都 保证 
是 非 零 的 ， 因 此 ， 每 一 个 这 样 的 进程 将 从 寄存 器 Turn 读 取 非 零 值 。 由 于 进程 在 模式 Set 
消耗 时 间 的 上 界 ， 进 程 P' 必 须 在 间隔 Lt， zs] 的 某 个 时 间 执 行 从 模式 Set 到 模式 Delay 
的 切换 ， 其 中 芯 王 二 十 Al 。 现 在 很 容易 发 现 : MERA >A. WA t<, KRALL. t] 
从 模式 Test 切换 到 模式 set 的 任何 竞争 的 进程 ， 将 在 上 时 离开 模式 set。 在 图 7-10 所 示 
的 演示 场景 中 ， 进 程 P 在 时 间 t, 更 新 寄存 器 Turn 为 其 自己 的 标识 符 ， 进 程 P'E ti~ 
如 更 新 寄存 器 Turn 为 其 自己 的 标识 符 。 如 果 在 ts 之 前 由 进程 已 写 人 这 个 值 ， 那 么 这 个 值 
将 被 进程 P 重 写 ， 如 果 在 之 后 写 这 个 值 ， 那 么 该 值 将 重 写 进 程 P 的 更 新 。 在 任何 一 种 
情况 下 ， 不 能 保证 两 个 进程 的 测试 (Turn 二 myID) 是 正确 的 ， 也 不 可 能 让 两 个 进程 都 进入 
临界 区 。 
>A, 


q 
ti ti b ti=ħ+â, h 


P:— Set Ps—Set P:— Delay P: Delay 一 
E 7-10 EFF i AS B Ta BAT 


通常 ， 在 进入 模式 set 的 所 有 竞争 进程 中 ， 如 果 已 是 最 后 一 个 将 设置 寄存 器 Turn 设 
为 其 自己 标识 符 的 进程 ， 那 么 每 一 个 进程 在 离开 模式 Delay 时 将 发 现 寄存 器 Turn 与 已 
的 标识 符 一 样 。 这 样 的 进程 P 将 是 唯一 的 赢家 ， 它 将 进入 它 的 临界 区 。 当 已 离开 临界 区 
时 ， 它 设置 设置 寄存 器 Turn 为 0， 这 样 在 模式 Test 等 待 的 进程 可 以 再 一 次 竞争 进入 临 
界 区 。 
根据 上 面 的 讨论 ， 对 于 为 As 二 A1， 可 以 得 出 协议 是 既 满足 互 斥 又 满足 无 死 锁 。 更 确 
切 地 说 ， 考 虑 图 7-9 所 示 的 通过 组 合 进程 的 任意 多 个 实例 得 到 的 时 间 进 程 ， 每 个 进程 都 
有 其 自己 的 标识 符 myID， 并 且 每 个 进程 都 可 以 对 原子 寄存 器 Turn 建 模 。 对 于 组 合 进程 ， 
互 斥 属性 为 : 
Prei T(P. mode = Crit A P’. mode = Crit) 
对 于 每 对 进程 和 了 P'， 该 属性 是 一 个 不 变量 。 组 合 进程 也 满足 无 死 锁 属性 : 如 果 对 
于 进程 了 有 PP.mode 二 Test， 那 么 对 于 某 个 进程 P' 最 终 有 P'. mode=Crit. 
练习 7.7: 对 于 图 7-8 所 示 的 基于 时 间 的 互 斥 协议 ,考虑 无 饥饿 需求 “如 果 进 程 已 进入 模式 Turn, WE 
将 最 终 进入 模式 Crit”。 该 系统 满足 这 个 饥饿 需求 吗 ? 如 果 不 满足 ， 举 一 个 反例 。 
练习 7.8: 描述 4. 3. 3 节 中 的 用 原子 寄存 器 和 时 间 假 设 来 解决 一 致 性 问题 的 协议 。 明 确 陈述 时 间 假 设 。 
用 状态 机 表示 概述 描述 该 协议 (参考 图 7-9 所 示 的 互 斥 协 议 )。 讨 论 为 什么 该 协议 满足 一 致 性 问 
题 的 所 有 3 个 需求 ? 


7.2.2 音频 控制 协议 * 


我 们 现在 考虑 一 个 基于 时 间 的 协议 ， 该 协议 采用 不 完全 时 钟 从 发 送 器 到 接收 器 之 间 传 
送 位 序列 。 采 用 该 协议 的 编码 称 为 曼彻斯特 编码 ， 该 协议 是 基于 飞利浦 公司 使 用 的 音频 控 
制 协议 。 

问题 描述 

位 流 ， 也 就 是 ， 布 尔 类 型 的 值 ， 它 采用 设置 在 通信 总线 上 的 高 、 低 电压 进行 通信 。 时 
间 划 分 为 固定 长 度 的 时 间 片 ， 在 每 个 时 间 片 中 ， 通 过 改变 时 间 片 中 间 的 电压 来 传输 1 位 。 
值 0 编码 为 从 高 电压 到 低 电压 的 下 降 沿 , 值 1 编码 为 从 低 电 压 到 高 电压 的 上 升 沿 。 如 果 在 
连续 时 间 片 中 发 送 的 位 是 相同 的 ， 那么 在 电压 中 必须 有 中 间 变 化 ， 这 种 变化 发 生 在 一 个 时 
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间 片 的 末端 。 对 应 于 位 序列 100110100 编码 的 电压 脉冲 如 图 7-11 所 示 。 


1 0 0 1 1 0 1 0 0 


J 


图 7-11 位 序列 100110100 的 曼彻斯特 编码 


发 送 器 和 接收 器 的 时 钟 是 不 完全 的 ， 存 在 一 个 特定 的 飘移 。 接 收 器 不 知道 第 一 个 时 间 
片 的 开始 时 间 ， 但 发 送 器 和 接收 器 都 知道 时 间 片 的 约定 宽度 。 发 送 器 和 接收 器 在 没有 信息 
交换 时 ， 通 过 规定 低 电 压 同 步 传输 的 开始 ， 并 且 假 定 每 个 消息 从 位 1 开始 。 接 收 器 事先 不 
知道 消息 的 长 度 ， 但 当 它 检测 到 时 间 片 中 没有 消息 时 它 可 以 推测 当前 消息 的 结束 。 对 该 协 
议 设计 师 的 挑战 是 协议 有 一 个 约束 ， 即 接收 器 不 能 可 靠 检测 下 降 沿 。 因此， 所 有 的 解码 必 
须 仅仅 基于 上 升 沿 的 相对 时 间 来 推断 。 结 果 ， 接 收 器 不 能 分 辩 结 束 于 10 和 1 的 消息 之 间 
的 歧义 。 这 是 因为 即使 当 消 息 传输 以 1 结束 时 ， 发 送 器 仍然 设置 电压 为 低 电 平 ， 以 确保 当 
没有 信息 传递 时 电压 为 低 电 平 。 对 于 以 10 结束 的 消息 ， 最 后 一 个 下 降 沿 和 前 一 个 上 升 沿 
之 间 的 延迟 是 一 个 完整 的 时 间 片 ， 而 对 于 以 1 结束 的 消息 ， 最 后 一 个 下 降 沿 和 前 一 个 上 升 
沿 之 间 的 延迟 是 半 个 时 间 片 。 由 于 接收 器 不 能 检测 下 降 沿 ， 所 以 它 不 能 区 分 这 两 种 情况 。 
为 了 解决 这 种 歧义 性 ， 设 定 每 个 消息 以 00 结束 。 

为 了 设计 和 分 析 期 望 的 协议 ,我 们 假设 时 间 片 的 长 度 为 4 个 时 间 单位 ， 接 收 器 和 发 送 
器 的 时 钟 漂移 是 每 时 间 单位 e。 这 表明 如 果 接 收 器 根据 自己 的 内 部 时 钟 保持 4 个 时 间 单 位 
的 高 电压 ， 那 么 实际 流逝 的 时 间 可 能 是 4 一 4e~4 十 4e。 同 样 ， 如 果 接 收 器 发 现 两 个 连续 上 
升 沿 之 间 的 持续 时 间 少 于 3 个 时 间 单位 ， 那 么 只 能 假设 对 应 的 实际 延迟 小 于 3 十 3e 个 时 间 
单位 。 
”正确 性 需求 是 接收 器 正确 解码 每 个 消息 ， 假 定时 钟 值 的 飘移 由 给 定 的 e 时 间 单位 界定 。 
更 一 般 地 ， 一 旦 我 们 设计 了 一 个 协议 ,我 们 就 想 确 定 该 协议 可 以 正常 工作 的 最 大 丑 移 率 。 

发 送 器 进程 

由 发 送 器 和 接收 器 组 合 而 成 的 系统 框图 如 图 7-12 所 示 。 发 送 器 进程 从 输入 通道 in 接 
收 要 传送 的 消息 。 一 个 单一 的 消息 是 一 个 布尔 值 序列 。 发 送 器 进程 使 用 一 个 内 部 队列 m 来 
存储 要 发 送 的 位 序列 。 我 们 将 电压 的 上 开 沿 和 下 降 沿 分 别 建 模 为 输出 事件 up 和 down。 时 
钟 变量 z 用 于 说 明 时 间 约束 。 发 送 器 进程 的 状态 eae bin 


oe SEED ap sha 
发 送 器 进程 从 模式 A 开始 ， 在 模式 A 它 等 待 soera ne 


接收 输入 。 当 在 输入 通道 in 上 接收 到 输入 时 ， 将 aT 

输入 存储 在 队列 m 中 。 第 一 位 立即 出 列 用 于 传 图 7-12 音频 控制 协议 的 方 框图 

送 ， 并且 假设 它 为 1( 这 很 是 容易 修改 发 送 器 进程 

的 状态 机 ， 以 便 它 检查 第 一 位 是 否 是 1， 如 果 检 查 失败 它 进入 错误 状态 )。 该 进程 将 它 的 时 
钟 变量 z 设置 为 0， 并 把 模式 切换 到 模式 B。 等 待 2 个 时 间 单位 后 ， 该 进程 产生 一 个 事件 
up， 以 便 在 时 间 片 的 中 间 将 电压 变 到 高 。 该 进程 从 队列 m 中 移出 下 一 位 用 于 传输 ， 如 果 
该 位 为 1， 则 该 进程 切换 到 模式 C， 它 等 待 2 个 时 间 单位 ， 通 过 发 出 事件 down 将 电压 变 为 
低 ， 然 后 返回 到 模式 B 以 便 在 后 续 的 时 间 片 内 发 送 1。 如 果 该 位 为 0， 则 该 进程 切换 到 模 
式 D， 在 模式 D， 该 进程 等 待 4 个 时 间 单位 ， 直 到 下 一 个 时 间 片 的 中 间 ， 然 后 将 电压 变 为 
低 。 然 后 它 检 查 消息 队列 m 的 下 一 位 。 如 果 该 位 为 1( 与 上 次 处 理 的 最 后 一 位 不 同 )， 则 该 
进程 切换 为 模式 E， 在 该 进程 发 出 事件 up 之 前 它 等 待 4 个 时 间 单 位 。 如 果 该 位 为 0( 与 上 
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(x=2+/\ m = null) > down! 
(x=2+*AF(m) = 1) > 
up!; Deq (m); x :=0 





in? > 
m: = in; Deq(m);x :=0 


(x =2*)— down!; x :=0 
(x=4*AF(m) =1)> 
down!; Deq(m); x :=0 


(x = 2*AF(m) =0) 一 
up!; Deq(m); x := 0 


(x24*AF(m) = 0) 一 
up!; Deq (m); x :=0 
(x >2~) = up!; x := 0 


(x = 4*AF(m) =0)> 
down!; Deq(m);x :=0 








down!/Deq(m);x:=0 


(x = 2*/A F(m) =0)—> 
down!; Deq (m); x :=0 


图 7-13 音频 控制 协议 的 发 送 器 进程 


次 处 理 的 最 后 一 位 相同 )， 则 该 进程 在 模式 F 等 待 2 个 时 间 单 位 ， 然 后 升 高 电压 ， 在 模式 
G 等 待 2 个 时 间 单 位 ， 然 后 再 次 降低 电压 来 发 送 0 位 。 每 次 从 消息 队列 移出 下 一 位 ， 并 基 
于 该 位 与 下 一 位 是 否 相 同 或 与 最 近 发 送 的 一 位 是 否 不 同 来 判断 。 保 证 消息 的 最 后 两 位 是 
00。 当 消息 结束 时 进程 在 模式 G， 并 且 当 队列 m 为 空 时 ， 在 模式 有 等 待 一 个 时 间 片 的 持续 
时 间 而 不 改变 输出 后 ， 进 程 返回 到 空闲 位 置 A。 
接收 器 的 详细 状态 机 如 图 7-13 所 示 。 在 状态 机 描述 中 ，F(m) 代 表 队 列 m 的 第 一 个 元 
素 ， 动 作 Deq(m) 从 队列 m 中 移 除 第 一 个 元 素 。 注 意 ， 所 有 的 时 间 约 束 更 新 为 反映 时 间 测 
量 中 的 可 能 错误 ， 如 7. 1.6 节 所 述 。 例 如 ， 为 了 说 明 进 程 在 模式 日 等 待 4 个 时 间 单 位 ， 我 
们 需要 把 时 钟 不 变量 (z 受 4) 与 模式 H 相 关联， 把 守卫 (zx 宇 4) 与 从 模式 日 到 模式 A 的 模式 
切换 相关 联 。 为 了 获取 时 间 测 量 中 的 误差 ， 把 时 钟 不 变量 (x 二 4) 改 变 为 约束 (x 二 4 十 4e)， 
守卫 (z 宇 4) 改 变 为 约束 (zx 宇 4 一 4e)。 我 们 将 4 一 4e 简写 为 4 一 e， 将 4 十 4e 简写 为 4 十 s。 
接收 器 进程 
接收 器 进程 如 图 7-14 所 示 。 接 收 器 采用 一 个 可 变 时 钟 y 和 一 个 输出 缓冲 器 out 来 存储 
解码 的 消息 。 接 收 器 进程 的 初始 模式 为 Idle。 当 它 接收 第 一 个 事件 up 时 ， 它 把 消息 初始 
化 为 1。 模 式 Last1 对 应 于 最 后 的 解码 位 为 1 的 情形 ， 类 似 地 ， 模 式 Lasto 对 应 于 最 后 
的 解码 位 为 0 的 情形 。 时 钟 y 用 于 测量 连续 两 个 事件 up 之 间 的 持续 时 间 。 在 模式 L 
Lastl ， 如 果 下 一 位 为 1， 则 直到 下 一 个 事件 的 准确 持续 时 间 预 期 为 4。 由 于 接收 器 只 需要 
区 分 各 种 情形 ， 所 以 如 果 持 续 时 间 为 3 一 5 的 任何 时 间 值 ， 那 么 就 认为 下 一 位 为 1。 使 用 接 
收 器 的 不 完全 时 钟 测量 延 时 。 检 查 (3 一 e 二 y 志 5 十 e) 是 检查 (3 一 3e 二 y 三 5 十 5e) 的 缩写 ， 它 
表明 与 接收 器 物理 实体 消耗 的 时 间 相 比 ， 接 收 器 进程 的 时 钟 有 每 单位 时 间 es 的 潜在 飘移 。 
在 模式 Last1， 如 果 在 间隔 [5，7] 中 的 一 个 延迟 后 检测 到 下 一 个 上 升 沿 ， 则 发 送 位 0， 如 
果 在 间隔 [7，9] 中 的 一 个 延迟 后 检测 到 下 一 个 上 升 沿 ， 则 发 送 位 0 和 1( 在 两 个 1 之 间 的 0 
不 需要 上 升 沿 ) 。 在 模式 Last0， 通 过 划分 预期 的 延迟 应 用 类 似 的 逻辑 ， 直 到 下 一 个 事件 
up 划分 到 不 同 的 类 别 ， 延迟 为 3 一 5 说 明 下 一 位 是 0; 延迟 为 5 一 7 说 明 发 送 位 0 和 1。 如 
果 在 7 个 时 间 单 位 内 都 没有 检测 到 事件 ， 则 接收 器 认为 传输 已 经 结束 (消息 以 0 结束 ) 并 返 
回 到 模式 Idle. 
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up? > 


y: = 0; Enq (out, 1) yale 


up? A3*<y < 5*— 


y := 0; Enq (out, 1) tet ag 


up? AS*<y <7*— 
Eng (out, 0); y := 0 


Enq (out, 0); y := 0 











up? A5*< y < 7*—> 
Enq (out, 01); y := 0 


up? A7<<y <9" 
y := 0; Enq (out, 01) 
图 7-14 音频 控制 协议 的 接收 进程 


例子 执行 

图 7-15 显示 了 在 时 间 0 将 消息 串 100110100 提供 给 发 送 器 时 可 能 的 协议 执行 ， 其 中 误 
差 率 e 为 0.05。 在 时 间 0， 发 送 器 切换 到 模式 B， 并 设置 其 变量 m H 00110100, eh x it 
为 0。 图 7-15 中 的 每 一 行 显示 了 迁移 发 生 的 时 间 、 在 迁移 过 程 中 发 送 器 产生 的 事件 、 在 变 
迁移 时 发 送 器 的 时 钟 变量 xz 的 值 ( 在 值 更 新 之 前 )、 迁 移 后 发 送 器 的 模式 、 迁 移 后 内 部 消息 
队列 m 的 值 、 在 变迁 移 时 接收 器 的 时 钟 变量 y 的 值 ( 更 新 之 前 )、 迁 移 后 接收 器 的 模式 和 
迁移 后 输出 消息 队列 out 的 值 。 需 要 注意 的 是 ， 在 该 执行 结束 时 ， 两 个 进程 都 返回 到 它们 
各 自 的 初始 模式 ， 输 出 队列 的 值 等 于 原始 输入 消息 100110100, 









发 送 器 
| o | |__| _ B__ | 00110100 


7-15 音频 控制 协议 的 执行 


分 析 

可 以 通过 分 析 发 送 器 和 接收 器 时 间 进 程 的 并 行 组 合 来 检查 协议 是 否 正 确 工 作 ， 即 接收 
器 从 通道 in 接收 的 消息 是 否 等 于 缓冲 器 out 的 最 终 值 。 该 需求 可 以 通过 一 个 安全 监控 器 来 
获得 。 我 们 也 要 找 出 协议 可 以 正确 运行 的 最 大 误 码 率 e。 在 飞利浦 公司 的 工业 设计 中 允许 
5% 的 误 码 率 ( 即 e 二 1/20)， 对 于 此 误 码 率 ， 协 议 满足 正确 性 需求 。 使 用 模型 检查 工具 ， 
(如 HYTECH 和 UPPAAL 等 ) 的 形式 化 分 析 得 出 该 协议 弹性 误 码 率 为 e 二 1/15。 
练习 7.9: 通过 说 明 对 应 于 输入 串 100110100 的 一 个 不 正确 的 执行 来 证 明 音 频 控制 协议 不 能 容忍 e=0. 25 

的 误 码 率 。 
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190 RTF 





7.2.3 双 腔 植 入 式 心 脏 起 搏 器 


因为 医疗 设备 的 功能 快速 增加 、 计 算 与 控制 和 通信 的 紧 耦 合 性 ， 所 以 它们 的 设计 和 实 
现 面临 巨大 挑战 。 此 类 设备 的 安全 依 关 性 使 得 它们 成 为 形式 化 建 模 和 分 析 的 探索 应 用 的 理 
想 领 域 。 在 本 节 中 ， 我 们 采用 了 双 腔 植 人 式 心脏 起 搏 器 来 曾 述 这 类 设备 的 正确 性 需求 的 控 
制 软件 和 规约 的 模型 。 我 们 从 一 个 起 搏 器 基本 功能 的 概述 开始 介绍 。 

起 搏 器 基础 知识 . 

人 的 心脏 是 一 个 自然 发 生 的 时 间 系 统 的 一 个 很 好 的 例子 。 它 自发 地 产生 电 脉 冲 ， 该 电 
脉冲 在 每 一 次 心脏 跳动 时 组 织 肌 肉 收缩 的 序列 。 这 些 脉冲 的 基础 时 间 模 式 是 心脏 功能 正常 
的 关键 。 植 人 式 心脏 起 搏 器 是 一 个 节奏 管理 设备 ， 它 可 以 检测 这 些 节奏 模式 ， 在 必要 时 可 
通过 外 部 手段 纠正 它们 。 

心脏 由 一 个 称 为 赛 房 结 的 专用 组 织 ， 神 经 系统 控制 ， 在 右 心房 的 顶部 周期 性 地 产生 电 
脉冲 。 这 些 脉 冲 导致 两 个 心房 收缩 ， 把 血液 压 人 心室 。 该 电 传 导 在 房 室 结 被 延迟 ， 人 允许 心 
室 被 血液 完全 充满 ， 接 着 心室 肌肉 迅速 传播 ， 产生 使 血液 泵 出 心脏 的 协调 收缩 。 

一 种 称 为 心动 过 缓 的 常见 心脏 疾病 是 由 于 脉搏 产生 或 脉搏 传播 的 任何 一 个 环节 发 生 了 
故障 ， 并 导致 心率 缓慢 ， 进 而 供血 不 足 。 心 动 过 缓 可 以 通过 可 植 人 的 心脏 起 捕 器 来 治疗 ， 
心脏 起 搏 器 监视 心率 ， 并 提供 及 时 的 外 部 电 脉冲 来 保持 适当 的 心率 以 及 心脏 房 室 协调 。 心 
脏 起 搏 器 通常 有 两 个 引线 固定 在 右 侧 的 心房 壁 和 右 心室 壁 。 局 部 组 织 的 激活 感知 这 些 引 
线 ， 并 且 这 些 感知 事件 充当 起 搏 器 的 输入 。 如 果 这 些 感知 事件 发 生 不 及 时 ， 那 么 起 搏 器 做 
出 反应 ， 通 过 产生 起 搏 事件 来 触发 对 心脏 的 电 刺 激 。 

一 个 现代 化 的 起 捕 器 要 能 适应 各 种 不 同类 型 的 心脏 ， 并 可 以 以 不 同 的 模式 进行 操作 。 
我 们 专注 于 一 个 名 为 DDD 的 模式 : 第 一 个 字符 描述 所 述 起 搏 位置 ， DD 表示 起 搏 器 起 搏 心 
房 和 心室 ; 第 二 个 字符 描述 感知 位 置 ，D 意味 着 两 个 腔 室 被 感知 ; 第 三 个 字符 刻画 起 捕 器 
软件 如 何 响应 感应 ，D 表示 感知 可 激活 或 抑制 进一步 起 搏 脉冲 。 对 于 其 他 的 常用 模式 ， 起 
搏 器 的 建 模 也 是 一 样 的 (例如 ， 对 于 VDI 模式 的 起 搏 器 ， 起 搏 器 只 起 搏 心 室 ， 感 知 两 个 心 
室 ， 并 感知 可 能 引起 抑制 起 搏 )。 起 搏 器 从 一 个 模式 切换 到 另 一 模式 的 决策 逻辑 可 能 增加 
起 搏 器 软件 的 复杂 性 ， 并 没有 反映 在 我 们 的 DDD 模式 的 模型 中 。 

设计 概述 

如 图 7-16 显示 了 两 个 时 间 进 程 (被 控 对 象 进程 GRAI 
Heart 和 控制 器 进程 Pacemaker) 之 间 进 行 通信 的 项 re [ERRE] racemes 
层 方 框图 。 将 事件 AI 和 VI 输入 心脏 起 搏 器 ， 而 其 输 
出 对 应 事件 AP 和 VYP。 事 件 AI 由 放置 在 右 心 房 壁 的 引 
线 感 知 并 对 应 于 超过 特定 阔 值 的 电势 。 事 件 VI 类 似 和 
说 明 右 心室 的 电流 激活 。 起 搏 事件 AP 和 VP 诱发 心房 和 心室 的 肌肉 收缩 。 注 意 ， 所 有 的 
通信 变量 用 事件 来 建 模 ， 因 此 没有 相关 联 的 数据 值 。 心 脏 起 搏 器 的 行为 取决 于 这 些 事件 之 
间 的 时 间 延 迟 。 

起 搏 器 由 4 个 进程 组 成 ， 如 图 7-17 所 示 。 事 件 VI 表示 电 活 动 在 心室 的 原始 感知 输 
A. WEHE FilterV 输出 事件 VS: VS 事件 的 序列 对 应 事件 VI 的 序列 的 过 滤 版 本 ， 
这 些 事件 用 于 决定 何 时 产生 起 搏 事件 。 同 样 ， 时 间 进 程 Filtera 输 出 事件 AS， 它 是 原始 
感知 事件 AI 的 过 滤 版 本 。 进 程 Pacea 和 Pacev 分 别 基 于 过 滤 感 知事 件 AS 和 VS 的 时 间 
模式 产生 起 搏 事件 AP 和 VP。4 个 子 进程 的 每 一 个 的 输入 如 图 7-17 所 示 ， 我 们 将 继续 介 
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绍 它们 的 设计 过 程 。 


Pacemaker 





图 7-17 起 搏 器 子 构 件 的 方 框图 


事件 感知 

如 图 7-18 所 示 的 时 间 进 程 FilterV 滤 除 VI 事件 的 序列 来 消除 噪声 。 在 每 一 次 心室 
事件 后 ， 有 一 个 盲 期 ， 称 为 心室 不 应 期 (VRP)， 在 此 期 间 ， 额 外 的 心室 事件 的 新 活性 不 被 
认可 ， 因 此 被 忽略 。 在 进程 FilterVv 描述 中 else 
的 程序 参数 9 对 应 于 VRP, 该 参数 的 典型 值 
是 100ms。 

进程 Filterv 使 用 时 钟 变量 z 测量 从 最 
后 一 个 心室 事件 后 的 时 间 延 迟 。 当 该 进程 接收 ver Set 
输入 事件 VI 时 ， 如 果 时 钟 xz 没有 超过 56;， 那 进程 FilterV 
么 这 意味 着 该 VRP 尚未 消耗 完 ， 没有 产生 输 = 
出 。 如 果 时 钟 z 超过 5;， 则 该 进程 想 要 通过 产 clock x:=8,,y 
生 事 件 VS 并 重 置 时 钟 工 来 标记 一 个 新 VRP 的 
开始 来 立即 响应 。 需 要 注意 的 是 ， 基 本 的 形式 






clockx :=6, 


化 模型 是 异步 进程 ， 因此， 产生 事件 VS 的 输 VP? / VS! + x:=0 
出 迁移 必须 与 接收 输入 事件 VI 的 输入 迁移 解 进程 Filtera 
耦 。 为 了 确保 该 输出 迁移 立即 跟随 输入 迁移 而 图 7-18 ”过 滤 感 知事 件 的 时 间 进 程 


没有 延迟 ， 在 接收 输入 时 ， 进 程 将 时 钟 工 设置 为 0， 并 把 模式 切换 到 与 时 钟 不 变量 (z 委 0) 
相关 的 模式 B。 这 样 就 能 确保 模式 B 是 瞬时 的 ， 并 且 当 进程 Filterv 处 于 此 模式 时 ， 系 
统 的 时 间 开 销 为 零 。 需 要 注意 的 是 ， 当 收 到 心室 起 搏 事件 VP 时 ， 时 钟 工 重 置 为 0， 这 确 
保 了 在 这 样 的 起 博 事件 的 VRP 内 的 输入 事件 VI 被 忽略 。 

进程 Filtera 负责 过 滤 感 知 的 心房 事件 的 序列 。 其 功能 定义 为 以 下 规则 : MRAM 
最 后 心室 事件 之 后 输入 事件 AI 不 在 后 心室 心房 不 应 期 (PVARP) 内 ， 那么 它 被 当 作 过 滤 的 
事件 AS, HFE Filtera 的 描述 中 的 参数 2 对 应 于 这 个 PVARP， 其 典型 值 是 100ms。 

HE Filtera 的 时 钟 工 测量 自 最 后 心室 事件 之 后 的 延迟 ， 而 且 当 任 一 心室 的 输入 事 
件 VS 或 VP 被 接收 时 ， 则 工 重 置 为 0。 当 事件 AI 发 生 时 ， 如 果 z 的 值 低 于 阔 值 $;， 那 么 
它 不 产生 任何 输出 事件 。 否 则 ， 进 程 通过 产生 一 个 没有 任何 延迟 的 输出 事件 AS 来 进行 响 
应 。 为 了 确保 在 产生 事件 AS 和 接收 时 间 AI 之 间 没 有 时 间 消 耗 ， 当 进程 Filtera 接收 输 
人 并 切换 到 与 时 钟 不 变量 (> 委 0) 相 关 且 有 一 个 产生 期 望 输出 传 出 迁移 的 瞬时 模式 B 时 ， 设 
置 时 钟 变量 y 为 0。 

起 搏 事件 的 时 间 

图 7-19 中 的 时 间 进 程 Pacea 和 PaceV 实现 心脏 起 捕 器 最 基本 的 功能 ， 以 保持 心率 超 
过 最 低 限度 极 小 值 。 
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VS? > y:=0 AS? / AP? 


eee 






clockx,y:=0 





(x s å) V G6 


Idle Pending 


Q >= ð, Ay >ð) > 
{VP!; y := 0} 


进程 paceV 


(x =8;)— AP! 
VP? / VS? > x := 0 ro OT sae 


VP? / VS? => x :=0 
Pending Idle 


进程 paceA 
图 7-19 生成 起 博 事件 的 时 间 进 程 


进程 Pacev 的 功能 是 保证 一 个 心室 事件 在 自从 最 后 的 心房 事件 后 房 室 间隔 (AVI) 的 
最 大 延迟 内 发 生 。 当 事件 AS 或 AP REM, NH ec 设置 为 0， 并且 进 程 切换 到 模式 
Pending。 注 意 ,模式 切换 AS? /AP? 一 z :==0 是 两 个 模式 切换 的 简写 (一 个 由 条 件 AS? 
触发 ， 另 一 个 由 条 件 AP? 触发 ) 。 参 数 2 对 应 于 AVI， 该 参数 的 典型 值 是 150ms。 如 果 在 
模式 Pending 在 时 钟 超过 阔 值 8: 之 前 心室 感知 事件 VS 没有 发 生 ， 那 么 进程 应 该 发 出 
起 搏 事件 VP。 但 是 ， 为 了 防止 心脏 起 搏 器 起 搏 心室 太 快 ， 只 有 当 从 最 近 心 室 事件 开始 至 
少 消耗 了 上 界 速 率 间 隔 (URI) 时 间 才 发 出 起 搏 事件 。 为 了 满足 该 约束 ， 进 程 采 用 另 一 个 时 
钟 y， 时 钟 y 在 每 一 个 心室 事件 中 重 置 为 0。 参数 2% 对 应 于 URI， 它 强制 连续 心室 事件 之 
间 的 时 间 下 界 ， 该 参数 的 典型 值 是 400ms。 满 足 合 取 (z 三 9) 人 (>y 三 0 ) 就 发 出 起 搏 事件 
VP。 与 模式 Pending 相关 的 时 钟 不 变量 的 析 取 是 该 守卫 条 件 的 否定 ， 并 确保 在 两 个 时 间 
极限 期 内 起 搏 器 响应 起 搏 。 

进程 Pacea 对 该 逻辑 进行 编码 产生 心房 起 搏 事件 AP。 在 起 搏 器 的 规约 中 ， 低 速率 间 
隔 CLRI) 指 的 是 两 心室 事件 之 间 人 允许 的 最 长 时 间 间 隔 。 在 初始 模式 Pending， 如 果 进 程 自 
前 一 个 心室 时 间 后 ， 在 6; 个 时 间 单 位 内 没有 收 到 心室 事件 或 心房 感知 事件 AS， 那 么 它 就 
发 出 心房 起 搏 事件 AP。 参 数 6; 的 值 可 以 是 LRI-AVI 的 差 (假设 进程 Pacev 在 心房 事件 延 
R AVI 个 单位 时 间 后 起 搏 心室 ) 。 依 据 一 个 心房 事件 ， 进 程 Pacev 切换 到 模式 Idle 并 在 
根据 随后 的 心室 事件 进行 模式 切换 。LRI 的 典型 值 是 1000ms。 

心脏 建 模 

为 了 分 析 心 脏 起 搏 器 的 功能 ， 我 们 需要 一 个 产生 感知 事件 AI 和 VI 的 心脏 模型 。 图 7-20 
是 一 个 抽象 模型 。 在 前 一 心房 事件 开始 的 时 间 间 隔 LLA，Uaj] 内 产生 一 个 非 确定 性 的 选择 延 

后 ， 时 间 进 程 Hearta 产生 心房 感知 事件 AI。 时 GsL) SAI;x:=0} (y= L,) {VI y= 0} 

间 进 程 Heartv 是 对 称 的 ， 并 在 间隔 LLy，Uy] 内 


a 






产生 具有 不 确定 性 延迟 的 心室 事件 VI。 进 程 (<u) (<u) 
Heart 是 时 间 进 程 Hearta 和 HeartV 的 并 行 
组 合 。 © - 
“as pat AP? >x:=0 VP? > y:=0 
图 7-20 中 的 简单 模型 对 建立 起 搏 器 设计 的 基本 UE Hearty 


安全 性 需求 已 经 足够 了 。 然 而 ， 这 种 模型 并 不 能 够 图 7-20 ”心脏 的 非 确定 性 模型 
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获得 心房 和 心室 事件 在 时 间 上 的 相关 属性 。 一 个 更 可 靠 的 模型 是 构造 一 个 组 合 进程 模型， 
该 模型 包含 了 一 些 在 心脏 组 织 捕获 结 点 和 一 些 对 应 于 连接 这 些 结 点 的 传导 路 径 。 

示例 执行 

我 们 用 图 7-21 所 示 的 一 个 示例 执行 过 程 来 说 明 起 捕 器 的 行为 。 在 时 刻 时 ， 进 程 
HeartA 输出 心房 事件 Al, MERA Filtera 认为 这 是 一 个 新 的 心房 事件 ， 并 产 
生 一 个 没有 任何 延迟 的 感知 事件 AS。 鉴 于 心室 感知 事件 没 发 生 ， 进 程 PaceV 在 时 刻 ts 生 
成 一 个 起 搏 事件 VP， 吉 是 总 和 鼠 十 8 的 最 大 值 (参数 8 和 尿 分 别 对 应 于 周期 AVI 和 URD, 





Al/ AS Al AP AI/ AS AI/AS 
x 心房 
右 t, tz t ty l 
TIB 
b P te ts 时 间 
心室 
VI 
VP VI/ VS VP VP 


图 7-21 解释 起 搏 器 的 执行 


紧 跟 在 时 刻 ts 的 心室 事件 之 后 ， 心 脏 起 捕 器 在 时 刻 ts 产生 心房 脉搏 。 但是， 由 于 二 
t+6;， 所 以 该 事件 被 进程 FilterAa 忽略， 其 中 参数 9 设置 为 PVARP。 

同时 ， 进 程 Pacea 在 周期 5; 之 内 期 待 随 后 的 心房 感知 ，6; 对 应 于 在 时 刻 8 的 心室 事 
件 之 后 : LRI-AVI 。 因 为 这 样 的 事件 在 本 示例 执行 中 不 会 发 生 ， 所 以 它 通过 在 时 刻 =t: 十 6; 
生成 事件 AP 来 响应 。 

心脏 在 时 刻 二 产生 随后 的 心室 事件 VI， 该 事件 经 由 没有 任何 延迟 的 过 滤 进 程 FilterV 
映射 到 事件 VS。 后 续 的 心室 脉搏 由 心脏 在 时 刻 ts 产生， 并 且 由 于 tt 十 1， 参数 6 对 应 
于 VRP， 所 以 在 时 刻 ts 的 事件 VI 被 起 搏 器 忽略 。 心 脏 在 时 刻 产生 下 一 个 心房 事件 ， 而 
此 事件 转换 为 没有 任何 延迟 的 心房 感知 事件 AS( 假 设 t, > ts H8). 

进程 PaceV 期 竺 在 时 刻 娘 的 心房 事件 的 京 个 时 间 单 位 内 的 后 续 心 室 事件 。 在 时 刻 te = 
ti tõ’ t>t+é 意味 着 自从 最 近 的 VS 后 已 经 消耗 了 足够 的 时 间 (CURI)， 因 此 进程 
PaceV 产 生起 搏 事件 VP. 

在 时 刻 ts 产生 后 面 的 心房 事件 AI， 并 转换 为 没有 任何 延迟 的 事件 AS。 随 后 ， 进 程 
Pacev 在 时 刻 十 和 前 期 待 一 个 心室 感知 。 然 而 ， 在 这 种 情况 下 ，zs 十 6 三 ts 十 651， 因为 它 
生成 最 新 的 起 搏 事件 VP， 所 以 这 意味 着 没有 足够 的 时 间 供 进程 消耗 。 结 果 ， 进 程 Pacev 
一 直 等 待 ， 并 且 仅 在 时 刻 ty Hts +8, Cto >t tA ) 通 过 产生 事件 VP 再 次 起 搏 心脏 。 

需求 

心脏 起 搏 器 的 最 基本 功能 是 通过 维持 心室 率 高 于 下 限 频 率 区 间 (Lower Rate Interval, 
LRI) 的 阔 值 来 治疗 心动 过 缓 。 因 此 ， 由 心脏 Heart 和 起 搏 器 Pacemaker( 如 图 7-16 所 
示 ) 并 行 组 合 而 成 的 闭环 系统 应 满足 以 下 安全 性 需求 : 两 个 连续 心室 事件 之 间 的 延迟 不 应 
超过 LRI。 该 属性 不 能 作为 系统 的 不 变量 直接 获取 ， 但 我 们 可 以 利用 图 7-22 所 示 的 时 间 进 
程 LRIMonitor 作为 一 个 安全 监控 器 。 监 控 器 观察 事件 VS 和 VP， 如 果 自 心室 事件 的 最 
后 出 现 已 经 消耗 超过 LRI 个 时 间 单 位 ， 则 监控 器 进入 错误 状态 E。 验 证 心脏 起 捕 器 的 安全 
性 相当 于 检查 属性 (LRIMonitor. mode+E) ER EAB Heart | Pacemaker| LRIMon- 
itor 的 不 变量 。 

对 于 我 们 已 经 讨论 的 起 搏 器 模型 ， 随 着 程序 延迟 参数 的 指定 值 和 图 7-20 所 示 的 非 确 
定性 的 心脏 模型 ， 不 管 参数 LA、UaA、Lv 和 Uv 的 值 是 什么 ， 起 搏 器 是 安全 的 ( 即 监控 器 
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VS?/ VP? > y:=0 


=O wwe) (x => LRI)? (2) 


图 7-22 起 搏 器 的 安全 监控 器 


LRIMonitor 不 能 进入 出 错 模 态 )。 这 可 以 通过 确定 合适 的 电感 不 变量 的 人 工 证 明 或 通过 
使 用 模型 检查 器 (实现 7. 3 节 讨 论 的 算法 可 达 性 分 析 的 UPPAAL) 来 创建 。 
还 有 许多 期 望 起 捕 器 的 设计 希望 是 安全 的 其 他 需求 。 例 如 ， 一 个 起 搏 器 应 该 将 心室 超 

过 的 最 大 心率 的 起 搏 指定 为 上 限 速率 。 许 多 心房 和 心室 事件 的 时 序 模式 认为 是 不 需要 的 ， 

希望 起 搏 器 采取 正确 的 操作 进行 响应 。 在 建 模 时 ， 我 们 已 讨论 的 规约 和 分 析 技 术 适 用 于 这 

些 需 求 的 形式 化 建 模 ， 我 们 省 略 了 这 个 案例 研究 的 建 模 细节 。 

练习 7. 10: 在 时 间 进 程 PaceV( 如 图 7-19 所 示 ) 的 建 模 过 程 中 ， 我 们 采用 模式 Pending 的 析 取 时 钟 不 变 
量 表达 式 。 构 建 另 一 个 可 选 模型 ， 其 中 把 模式 Pending 分 解 为 两 个 模式 ， 一 个 模式 具有 时 
钟 不 变量 (zx 三 6;)， 另 一 个 模式 具有 时 钟 不 变量 (y 志 6;)， 使 得 由 此 产生 的 进程 有 与 进程 
Pacev 一 样 的 输入 /输出 行为 。 


7.3 时 间 自 动机 

给 定 一 个 时 间 进 程 TP， 它 可 以 表示 为 多 个 时 间 进 程 的 并 行 组 合 ， 它 包括 一 个 安全 监 
控 器 和 一 个 状态 变量 属性 wp， 可 达 性 分 析 的 目标 是 检查 属性 o 是 否 是 进程 TP 的 不 变量 ， 
如 果 该 属性 不 是 进程 TP 的 不 变量 ， 则 它 产 生 一 个 反例 。 对 于 不 变量 验证 采用 on-the-fly 
枚 举 深度 优先 搜索 算法 (如 3. 3 节 所 学 习 的 ) 的 主要 障碍 是 时 间 进 程 包含 了 实 值 时 钟 变量 。 
因此 ， 我 们 必须 开发 符号 或 基于 约束 的 技术 来 处 理 时 钟 变量 的 集合 。 在 本 节 中 ， 我 们 提出 
的 分 析 技术 适用 于 使 用 时 钟 的 时 间 系 统 建 模 中 最 常 出 现 的 模式 。 


7.3.1 时 间 自 动机 的 模型 


在 第 3 章 中 ， 我们 设计 了 一 种 验证 问题 的 可 行 算法 ， 该 算法 把 待 分 析 系 统 当 作 一 个 有 
限 自动 机 来 进行 分 析 。 由 于 时 钟 变量 的 存在 ， 时 间 进 程 通常 不 是 有 限 状 态 机 。 然 而 ， 如 果 
我 们 限制 时 钟 变量 的 使 用 方式 ， 则 基于 有 限 状态 自动 机 的 算法 分 析 还 是 可 以 用 的 。 对 于 此 
类 分 析 ， 时 钟 变 量 的 使 用 严格 遵循 以 下 方式 。 首 先 ， 赋 给 时 钟 变量 的 唯一 值 是 0。 其次， 
对 于 某 个 常 整数 有 ， 涉 及 时 钟 变量 的 唯一 测试 是 形 如 zx 三 & 或 I 三 k。 也 就 是 说 ， 用 于 时 钟 
不 变量 和 更 新 的 唯一 原子 表达 式 将 时 钟 变量 与 常数 比较 。 到 本 章 为 止 所 考察 的 例子 都 遵守 
这 些 限制 。 这 样 的 更 新 和 测试 适用 于 表示 事件 之 间 延 迟 的 下 界 和 上 界 。 

这 样 限制 时 钟 变量 使 用 的 时 间 进 程 称 为 时 间 自 动机 。 特 别 地 ， 时 间 进 程 TimedBuf 
(如 图 7-2 所 示 ) 是 一 个 时 间 自 动机 : 从 模式 Empty 到 模式 Pull 的 切换 ， 并 在 模式 Full 
的 时 钟 不 变量 中 测试 (y 志 UB)， 以 及 在 从 模式 Full 到 模式 Empty 的 模式 切换 的 守卫 条 件 
中 测试 标记 (y 宇 LB)， 将 时 钟 y 重 置 为 0 分别 把 时 钟 变量 与 对 应 于 延迟 上 界 和 下 界 的 常量 
进行 比较 。 





时 间 自 动机 
时 间 进 程 TP 称 为 时 间 自 动机 ， 如 果 对 于 进程 的 每 个 时 钟 变量 z: 
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1) 对 进程 TP 任何 任务 的 更 新 描述 出 现 的 变量 z 的 唯一 赋值 是 工 = 0; 

2) 涉及 变量 r 的 每 一 个 原子 表达 式 要 么 出 现在 进程 TP 的 时 钟 不 变量 中 ， 要 人 么 出 
现在 进程 TP 的 任何 任务 的 守卫 或 更 新 描述 中 ， 它 具有 形式 : cok maeSk, Hk 
整 型 常量 。 





需要 注意 的 是 ， 对 于 一 个 整 型 常量 k， 形 如 (z= 有 的 测试 是 可 以 定义 的 ， 因 为 (z= 
等 价 于 (zx 二 上 k) 人 (zr 三 &)， 形 如 (zx 过 8) 的 测试 也 是 可 定义 的 ， 因 为 它 等 价 于 一 (zx 三 &)。 

由 于 该 分 析 以 特殊 的 方式 处 理 时 钟 变 量 ， 所 以 可 以 很 方便 地 把 一 个 时 间 自 动机 TP 的 
状态 当 作 对 (s,，v) 来 考虑 ， 其 中 离散 状态 ;将 值 分 配 所 有 的 离散 变量 ， 时 钟 赋值 y 将 值 分 
配给 时 钟 变量 。 需 要 注意 的 是 ， 如 果 时 间 自 动机 及 个 时 钟 变量 ,那么 一 个 时 钟 赋值 是 
time” 的 一 个 元 素 ; -其 中 time 是 非 负 实数 集合 。 


7.3.2 区 域 等 价 * 


分 区 例子 
为 了 解释 时 间 自 动机 的 分 析 技 术 ， 考 虑 图 7-23 所 示 的 具有 模式 A 和 B 的 自动 机 ， 该 
自动 机 有 两 个 时 钟 变量 zx 和 >、 两 个 event 类 型 的 输入 通道 gc 和 2 以 及 一 个 事件 输出 通道 
涉及 时 钟 变 量 z 的 约束 说 明 进 程 周期 性 地 发 出 事件 a， 使 得 两 个 连续 事件 之 间 的 延迟 大 
于 或 等 于 1 且 严 格 小 于 2。 涉 及 时 钟 y 的 约束 说 明 无 论 何 时 进程 接收 输入 事件 b， 它 就 在 
一 个 严格 大 于 0 和 小 于 或 等 于 1 的 延迟 内 发 出 输出 事件 c。 





图 7-23 说 明 区 域 等 价 的 时 间 自 动机 的 例子 


虽然 这 个 时 间 自 动机 只 有 两 个 离散 状态 ， 但 其 状态 空间 是 无 限 的 ， 因 为 有 无 限 多 个 时 
钟 赋值 。 分 析 算 法 的 基本 思想 是 将 这 些 时 钟 赋值 聚 类 为 有 限 多 个 等 价 类 ， 使 得 等 价 状态 都 
具有 相似 的 行为 。 这 种 等 价 关 系 又 称 为 区 域 等 价 ， 图 7-24 y 
一 个 自动 机 例子 的 描述 。 在 这 个 例子 中 ， 一 个 时 钟 赋值 是 二 
维 z/y 坐标 平面 的 第 一 象限 上 的 点 。 通 过 绘制 垂直 线 、 水 平 1 


线 和 对 角 线 可 以 将 这 个 空间 分 成 有 限 多 个 类 。 oi 
直观 地 说 ， 当 我 们 发 现在 一 条 线 上 的 每 一 个 时 钟 赋值 且 


位 该 线 的 上 侧 或 者 下 侧 会 导致 不 同 的 行为 时 ， 我 们 需要 通过 0 22 one 
绘制 这 样 的 线 来 分 区 。 为 了 限制 分 区 的 数量 ， 我 们 需要 按 需 ig aa, Se 

画 线 。 自 动机 的 守卫 和 不 变量 可 以 把 时 钟 变量 与 整 型 常量 进 

行 比较 ， 其 目的 是 可 用 绘制 水 平 线 和 垂直 线 来 进行 分 区 。 例 如 ， 在 模式 AR 中， 如 果 时 钟 变 
量 z 小 于 1， 则 事件 a 不 会 立刻 发 生 ， 如 果 时 钟 变量 x 大 于 或 等 于 1， 则 事件 a 就 会 立刻 
发 生 。 在 模式 B 中 ， 如 果 时 钟 y 为 0， 那么 事件 就 必须 等 待 一 个 非 零 的 时 间 ; 如 果 时 钟 
y 等 于 1， 则 事件 c 必须 立刻 发 生 。 在 这 个 例子 中 ， 与 时 钟 z 比较 的 最 大 常数 是 2， 与 时 名 
y 比较 的 最 大 常数 是 1。 这 表明 : 时 钟 工 的 实际 值 一 旦 超过 2， 就 与 确定 该 组 未 来 的 可 能 
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行为 没有 关系 。 类 似 地 ， 一 旦 时 钟 y 的 值 超过 1， 它 就 不 需要 被 准确 跟踪 。 为 获得 所 需 的 
分 区 ， 我 们 绘制 垂直 线 r=0, c=1, c=2 和 水 平 线 y=0 与 y=1。 

在 给 定 的 模式 中 ， 持 续 时 间 $ 的 时 间 动 作 的 效应 是 将 8 加 到 相应 的 时 钟 值 上 。 因 此 ， 
在 时 间 动 作 中 ， 时 钟 赋值 沿 对 角 线 方向 演变 。 在 我 们 的 例子 中 ， 在 模式 B， 考 虑 一 个 时 钟 
赋值 ， 其 中 时 钟 变量 zx Aly 都 为 0 一 1。 该 信息 足够 确定 哪些 守卫 能 够 满足 ， 因 此 模式 切 
换 可 以 立即 执行 。 如 果 约 束 Cz 二 y) 成 立 ， 随 着 时 间 的 流逝 ， 在 时 钟 y 达到 工 前 ， 时 钟 工 先 
达到 2， 在 此 情况 下 ， 输 出 事件 a 是 使 能 的 。 然 而 ， 如 果 时 钟 变 量 z 的 值 小 于 时 钟 变量 y 
的 值 ， 那 么 随 着 时 间 的 推移 ， 时 钟 变量 y 的 值 先 于 时 钟 变量 xz 的 值 达到 1， 这 意味 着 保证 
事件 5 在 事件 a 之 前 产生 。 为 了 考虑 这 样 的 效应 ， 我 们 通过 绘制 两 条 对 角 线 进一步 分 解 该 
分 区 。 

由 此 产生 的 分 区 如 图 7-24 所 示 。 如 果 两 个 时 钟 赋值 属于 同一 个 分 区 ， 则 认为 这 两 个 
时 钟 赋值 是 区 域 等 价 的 ， 每 个 分 区 由 所 有 等 价 时 钟 赋值 组 成 ， 该 分 区 又 称 为 时 钟 区 域 。 在 
我 们 的 例子 中 ， 有 28 个 时 钟 区 域 : 6 个 拐角 点 ， 如 (0，1) 和 (2，0); 14 条 开放 线段 ， 如 
ER z=0 上 的 线段 (0 二 y 二 1) 和 在 对 角 线 z= 二 (y 十 1) 上 的 线段 (0 三 y 二 1); 以 及 8 个 开放 
区 域 ， 如 三 角形 区 域 (0 二 zx 三 y 二 1)， 以 及 约束 条 件 (1 二 x 二 2) 和 (y 二 1) 指 定 的 无 界 区 域 。 

如 果 两 个 状态 对 应 的 离散 状态 是 相同 的 且 它 们 的 时 钟 赋值 是 区 域 等 价 的 ， 那么 这 两 个 
状态 是 区 域 等 价 的 。 为 了 理解 为 什么 区 域 等 价 状态 的 行为 是 相似 的 ， 考 虑 属于 约束 条 件 
1 过 x 二 2、0 二 y 过 1 和 (zx 一 y) 之 1 说 明 的 开放 区 域 的 两 个 时 钟 赋值 y 和 vw ， 如 图 7-24 所 示 。 
考虑 这 样 的 原子 时 钟 约束 : 将 时 钟 变量 工 与 0、1 或 2 进行 比较 ， 时 钟 变量 > 与 0 或 1 进 
行 比较 。 当 且 仅 当时 钟 赋值 ”满足 这 个 时 钟 约束 时 ， 时 钟 赋值 ， 才 满 足 这 个 时 钟 约束 。 这 
样 ， 如 果 在 状态 (A，v) 模 式 切 换 是 使 能 的 ， 那 么 在 区 域 等 价 状态 (A，v') 该 模式 切换 也 是 
使 能 的 ; 如 果 在 状态 (B， 模式 切换 是 使 能 的 ， 那么 在 区 域 等 价 状态 (B，v ) 该 模式 切换 
也 是 使 能 的 。 如 果 在 这 样 的 模式 切换 期 间 ， 时 钟 变量 x 被 重 置 ， 那么 由 此 产生 的 时 钟 赋值 
在 模式 切换 后 是 和 wi( 如 图 7-24 所 示 )， 它 们 也 是 区 域 等 价 的 ; 如 果 时 钟 变量 y 被 重 置 ， 
那么 由 此 产生 的 时 钟 赋值 在 模式 切换 后 是 v。 和风， 它们 也 是 区 域 等 价 的 。 在 时 钟 赋值 ， 
开始 ， 随 着 时 间 的 流逝 ， 模 式 仍 旧 未 变 ， 两 个 时 钟 变量 值 沿 着 对 角 线 递增 。 时 钟 赋值 在 这 
样 的 迁移 中 保持 与 vy 区 域 等 价 ， 直 到 时 钟 变量 z 的 值 变 为 2， 导 致 时 钟 赋值 vo MAE eh 
值 y 开 始 的 时 间 动 作 的 效应 也 是 类 似 的 : 时钟 赋值 沿 着 导致 时 钟 赋值 v; 的 对 角 线 演进 ， 时 
钟 赋值 y' 与 时 钟 赋值 v 是 区 域 等 价 。 需 要 注意 的 是 ， 导 致 时 钟 赋值 由 v 变 到 vy 的 时 间 动 
作 的 持续 时 间 ， 与 导致 时 钟 赋值 由 vy' 变 到 vs 的 时 间 动 作 的 持续 时 间 是 不 同 的 , 但 是 对 于 两 
个 等 价 时 钟 赋值 来 说 ， 随 着 时 间 的 流逝 不 同时 钟 区 域 中 的 顺序 是 相同 的 。 

总 之 ， 进 程 在 状态 中 执行 的 任何 动作 都 与 对 应 于 区 域 等 价 状态 开始 执行 的 动作 相 匹 
配 ， 导 致 状态 是 等 价 的 ， 其 中 相同 的 参数 可 以 被 再 次 使 用 。 因 此 ， 在 一 个 中 状态 开始 的 任 
何 执行 可 以 匹配 在 等 价 区 域 中 开始 的 相应 执行 ， 使 得 这 两 个 执行 有 匹配 的 输入 /输出 /内 
部 /时 间 动 作 的 序列 ， 唯 一 的 不 同 是 时 间 动 作 的 确切 持续 时 间 。 

作为 例子 ， 考 虑 图 7-23 中 的 时 间 自 动机 的 执行 序列 : 


0.6 b? 0.5 C! 
(A,0,0) = (A,0. 6,0. 6) E (B,0. 6,0) ig (B,1. 1,0. 5) —= (A;1. L40: 5) 


Oe Gast 300. 7) anoo n > Cai 25,195) 6 2 56) 
现在 假设 在 第 一 步 时 间 动 作 的 持续 时 间 改 变 为 0.1， 由 此 产生 状态 (RAR，0.1，0. 1)， 
该 状态 与 状态 (RAR，0.6，0. 6) 是 区 域 等 价 的 。 下 面 是 另 盖 个 执行 ， 它 的 第 一 步 是 持续 时 间 
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为 0. 1 的 时 间 动 作 ， 使 得 在 执行 的 每 一 步 ， 状 态 保持 与 上 述 执行 的 对 应 状态 是 区 域 等 价 的 。 


0.1 b? 0.91 C! 
(A,0,0) ——= (A,0. 1,0. 1) ——~ (8,0. 1,0) —~ (B, 1. 01,0. 91) —> (4,1. 01,0. 91) 


0. 05 a! 1. 25 0. 61 
—> (A, 1. 06,0. 96) —~ (A,0,0. 96) —~ (A, 1. 25,2. 21) —~ (A, 1. 86,2. 82) 


区 域 等 价 

现在 让 我 们 对 一 般 情况 的 区 域 等 价 进行 形式 化 定义 。 考 虑 时 间 自 动机 TP， 认 为 是 等 
价 的 两 个 时 钟 赋值 y 和 vw; 下 面 的 条 件 必 须 成 立 。 考 虑 一 个 时 钟 变量 x+。 时钟 赋 值 y 和 v 
必须 对 时 钟 变量 z 的 值 达成 一 致 ， 当 时 钟 工 为 0 时 ， 时 钟 工 的 值 为 0 一 1， 当 时 钟 工 为 1 
时 ， 时 钟 工 为 1 一 2， 这 种 关系 可 用 与 工 轴 平 行 的 线 来 表示 。 如 果 k 是 出 现在 守卫 、 更 新 
描述 或 TP 的 时 钟 不 变量 中 的 原子 约束 中 与 时 钟 工 相 比 最 大 的 常量 ， 那 么 一 且 时 钟 工 的 值 
超过 Az， 它 的 实际 值 的 大 小 也 就 无 关 紧 要 了 。 该 条 件 可 以 概括 为 : 对 于 每 一 个 为 0 一 已 的 
Hid, WARRE v Ao 满足 所 有 形 如 (z= 四 和 (Cz<d) 的 约束 。 第 二 个 条 件 考虑 关于 时 钟 
值 差 的 约束 。 考 虑 两 个 时 钟 x 和 >y， 使 得 它们 两 个 都 被 赋予 不 超过 各 自 阔 值 和 AR, 的 值 。 
这 样 ， 赋 给 时 钟 赋值 Av 的 值 必须 满足 关于 对 角 线 的 关系 。 根 据 时 钟 赋值 及， 变量 
© 和 yy 的 小 数 部 分 的 排序 必须 相同 ， 根 据 此 要 求 可 以 对 约束 条 件 进行 形式 化 描述 。 例 如 ， 
在 图 7-24 中 的 各 个 方形 ， 对 于 对 角 线 上 的 时 钟 赋值 ， 时 钟 x 和 y 的 小 数 部 分 是 相等 的 。 
对 于 下 三 角形 中 的 时 钟 赋值 ， 时 钟 z 的 小 数 部 分 超过 时 钟 y 的 小 数 部 分 ; 对 于 上 三 角形 中 
的 时 钟 赋值 ， 时 钟 y 中 的 小 数 部 分 超过 时 钟 工 的 小 数 部 分 。 

如 果 两 个 状态 将 相同 的 值 分 配给 所 有 的 离散 变量 ， 那 么 这 两 个 状态 是 区 域 等 价 的 ， 因 
此 ， 它 们 有 具有 相同 的 离散 状态 ， 并 且 它 们 的 时 钟 赋值 也 是 区 域 等 价 的 。 区 域 等 价 的 定义 如 
下 所 未。 


区 域 等 价 

给 定 一 个 时 间 自 动机 TP， 对 于 每 一 个 时 钟 变量 zx, Ok, 是 与 x 比较 的 最 大 常数 
值 ， 其 中 工 是 可 以 出 现在 守卫 、 更 新 描述 或 自动 机 TP 的 时 钟 不 变量 中 的 原子 约束 。 
时 间 自 动机 TP 的 两 个 时 钟 赋值 和， 是 区 域 等 价 的 ， 如 果 以 下 条 件 成 立 

1) 对 于 每 一 个 时 钟 变量 x 和 每 个 整数 4， 其 中 O<d<k,, Wx) =d 4H v (c) = 
za， 并 且 yz)<L HNŽ v (2)<d 时 ; 

2) 对 于 每 一 对 时 钟 变 量 x 和 y， 使 得 v(z) 委 & My(y<k,, 4AM v(x) Hyh 
数 部 分 小 于 或 等 于 v(y) 的 小 数 部 分 时 ，v(z) 的 小 数 部 分 小 于 或 等 于 vy(y) 的 小 数 部 分 。 

时 间 自 动机 TP 的 两 个 状态 ;二 (t,， DAs’ = 二 (1 ，v') 是 区 域 等 价 的 ， 如 果 1) 离散 
状态 t+ 和 zt' 是 相同 的 ; 2) 时 钟 赋值 y 和 vy' 是 区 域 等 价 的。 


当 一 个 进程 有 3 个 时 钟 时 ， 可 以 通过 使 用 在 每 个 轴 的 相关 常数 上 的 平行 轴 平 面 来 创建 ”[322 
三 维 网 格 以 获得 需要 的 分 区 。 如 果 我 们 考虑 由 (0 二 zx 二 1)、(0 二 y 过 1) 和 (0 二 z 二 1) 给 出 的 
一 个 立方 体 ， 然 后 由 对 角 线 平面 进一步 将 它 分 割 成 多 个 单元 格 。 这 样 的 时 钟 区 域 的 例子 包 
插 (z 过 y 过 xz)、(zx 二 y 过 xz)、(z= 二 y= 二 zx) 和 (y 过 x 二 zx)。 每 个 这 样 的 时 钟 区 域 可 以 通过 给 定 
的 3 个 时 钟 的 小 数 部 分 的 相对 排序 来 描述 。 

如 图 7-24 所 示 ， 如 果 两 个 状态 s 和 t 是 区 域 等 价 的 ， 则 从 其 中 一 个 状态 的 迁移 对 应 从 
另 一 个 状态 的 迁移 ， 它 们 的 迁移 后 的 状态 仍然 是 区 域 等 价 的 。 这 可 以 通过 以 下 定理 来 形 
式 化 8 

定理 7. 1( 区 域 等 价 性 ) 考虑 一 个 时 间 自 动机 TP 和 自动 机 TPHAKA sot, È 
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得 状态 和 上 是 区 域 等 价 的 ， 那 么 
1) 如 果 s 一 >s' 是 TP 的 一 个 输入 动作 、 输 出 动作 或 内 部 动作 ， 那 么 存在 一 个 状态 1'， 
RLA RA, HARA s'fo' RAMS HH, HH; 
2) 对 于 每 一 个 实 值 持续 时 间 ODO, RA sos tak TP 的 一 个 时 间 动 作 ， 存 在 一 个 


持续 时 间 8 二 0， 使 得 凡 -一 = 十 8 也 是 TP 的 一 个 时 间 动 作 ， 并 且 状 态 sto 和 s' 十 6' 是 区 
域 等 价 的 。 

证 明 : 设 TP 是 一 个 时 间 自 动机 。 考 虑 区 域 等 价 的 两 个 状态 和 上。 我 们 想 要 证 明 ， 对 
于 从 状态 s 开始 的 每 个 输入 /输出 /内 部 /时 间 动 作 都 与 从 状态 t 开始 的 相应 动作 相 匹 配 ， 使 
得 目标 状态 也 是 区 域 等 价 的 。 

可 以 看 到 ， 如 果 两 个 状态 是 区 域 等 价 的 ， 那 么 出 现在 自动 机 的 守卫 或 更 新 代码 中 的 每 
个 表达 式 在 两 个 状态 中 有 相同 的 值 。 

考虑 通过 执行 内 部 任务 A 获得 的 内 部 动作 ， 内 部 任务 A 从 状态 开始 ， 具 有 守卫 条 件 
Guard 和 更 新 代码 Update, H F sCGuard) 王 上 (Guard) ， 所 以 任务 A 在 状态 上 也 是 使 能 的 。 
现在 考虑 在 两 个 区 域 等 价 和 状态 * 和 t 中 的 更 新 代码 的 执行 。 在 执行 的 每 一 步 ， 条 件 表达 
式 在 两 个 状态 中 计算 相同 的 值 。 对 于 离散 变量 ys WITÉ: ye 的 赋值 ， 保 持 区 域 等 价 
性 。 如 果 一 个 语句 涉及 非 确 定性 的 选择 ， 那 么 它 可 以 在 两 个 执行 中 用 相同 的 办 法 求解 。 此 
外 ， 执 行 给 形 如 c=0 的 时 钟 变量 赋值 将 保持 区 域 等 价 性 : 这 很 容易 建立 ， 只 要 两 个 时 钟 
赋值 y 和 v' 是 区 域 等 价 的 那么 时 钟 赋值 Lx 一 0] 和 vw[zx 一 0] 也 是 区 域 等 价 的 。 由 此 可 以 得 
出 ， 如 果 从 状态 s Ale 开始 的 更 新 代码 Lipdata 的 执行 分 别 产 生 状 态 和， 那么 状态 s 和 
t' 必 须 是 区 域 等 价 的 。 

输入 和 输出 动作 的 情况 相似 。 


考虑 时 间 动 作 ，* 一 >s'"， 其 中 s' 二 s 十 8(80)， 假 设 持续 时 间 o 的 选择 是 使 得 对 于 每 
个 0 过 e898， 状态 ste 无 论 是 对 于 起 始 状 态 s 还 是 终止 状态 都 是 区 域 等 价 的 ( 即 ， 因 为 持 
续 时 间 足 够 小 ， 所 以 多 个 区 域 在 执行 过 程 中 还 没有 出 现 )， 我 们 想 要 找到 这 样 一 个 6， 使 
得 状态 s 十 6 和 十 8 是 区 域 等 价 的 。 

如 果 *(z) 是 一 个 不 大 于 阔 值 忆 的 整数 值 ， 那 么 让 我 们 假定 时 钟 x 是 在 状态 s 的 整数 
部 分 。 同 样 ， 如 果 s(xz) 不 是 整数 (因此 有 一 个 非 零 小 数 部 分 ) 且 不 超过 阅 值 x,， 那 么 时 钟 zx 
是 状态 s 的 小 数 部 分 。 

假设 在 状态 s 有 某 个 时 钟 zx 是 整数 部 分 。 对 于 状态 ste 中 任意 ce 二 0， 时 钟 z 的 值 不 再 
是 整数 ， 这 样 的 状态 与 ;不 是 区 域 等 价 的 ， 假 设 该 状态 必须 与 ;是 区 域 等 价 的 。 状 态 ; 中 
所 有 时 钟 是 小 数 部 分 ， 令 y 是 小 数 部 分 是 状态 s 中 最 大 值 的 时 钟 ， 令 e 是 这 个 小 数值 (如 
果 有 很 多 y 值 等 于 小 数值 ， 我 们 可 以 选择 其 中 的 任意 一 个 ， 如 果 在 状态 了 中 没有 小 数 时 
钟 ， 那 么 这 个 必须 作为 单独 的 、 简 单 例子 处 理 )。 从 状态 s 开始 ， 如 果 让 1 一 se, 时 间 流 逝 ， 
那么 时 钟 y 将 有 一 个 整数 值 ， 由 此 产生 的 结果 状态 将 不 再 与 6 是 区 域 等 价 的 。 因 此 它 必须 
是 0 二 6 二 es,。 由 于 状态 : 与 状态 是 区 域 等 价 的 ， 所 以 它 同 意 状态 s 中 的 哪些 时 钟 有 整数 
值 ， 哪 些 有 小 数值 以 及 这 些小 数值 的 顺序 。 尤 其 是 ， 时 钟 x 在 状态 t 中 也 有 整数 值 ， 对 于 
任何 小 的 e 二 0， 状 态 tte 不 再 与 + 是 等 价 区 域 的 。 而 且 ， 在 状态 z 的 小 数 时 钟 之 间 ， 时 钟 
y 有 最 大 的 小 数值 ， 设 该 值 为 e,。 然 后 验证 对 于 每 一 个 0 二 6 e, RE t 十 6' 与 状态 s 十 6 
是 区 域 等 价 的 ， 因 此 需要 的 持续 时 间 可 以 是 间隔 (0，s:) 中 的 任意 值 。 
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假设 在 状态 中 没有 整数 部 分 的 时 间 ， 但 是 有 小 数 部 分 的 时 钟 。 令 工 是 具有 最 大 小 数 
部 分 的 时 钟 ， 记 为 es。 那么 从 状态 开始 ， 随 着 时 间 的 流逝 ， 当 持续 时 间 小 于 1 一 &, 时 ， 
该 状态 仍旧 与 状态 s 是 区 域 等 价 的 。 在 时 间 1 一 se， 时 钟 z 变 成 整数 ， 和 触发 区 域 中 的 一 个 
变化 。 在 这 种 情况 下 ， 持 续 时 间 6 必须 等 于 1 一 e,。 现 在 状态 t 展示 了 相似 的 行为 。 如 果 e 
表示 在 状态 上 时 钟 z 的 小 数 部 分 ;那么 可 以 选择 6' 二 1 一 e,， 并 验证 状态 t 十 6 与 ;是 区 域 等 
价 的 。 

当 状 态 s 没有 整数 或 小 数 时 钟 时 ， 每 个 时 钟 x 的 值 已 经 超过 阔 值 &.。 在 这 种 情况 下 ， 
对 于 6 和 6' 的 所 有 值 ， 状 态 s、s 十 8、t 和 t 十 6' 都 是 区 域 等 价 的 。 

因此 ， 该 证 明 是 完备 的 ， 延 迟 8 足够 短 以 至 于 状态 * 和 s 十 6 属于 相 邻 区 域 。 作 为 练习 
7. 13， 对 于 通用 情况 ， 建 立 一 个 将 持续 时 间 6 的 时 间 动 作 分 解 为 一 系列 时 间 动 作 ， 使 得 每 一 
个 部 分 的 持续 时 间 足 够 短 : 存在 状态 sS Sry vets 5 一 ?和 延迟 9，…，0.，(0 十 … 十 
和 ,一 0)， 使 得 对 于 每 一 个 i， 5 一 51 寺 人 和 每 一 个 s， OSe=0)5 状态 Say hey sie 5 是 
区 域 等 价 的 。 从 与 状态 =s 是 区 域 等 价 的 状态 六 = 上 开始 ， 通 过 应 用 上 述 论 据 却 次， 我们 
可 以 找到 延迟 d +, 6, 和 状态 t= 二 t=1 十 6; ， 使 得 每 一 个 状态 4 与 状态 s; 是 区 域 等 价 的 。 
因此 ， 期 望 的 持续 时 间 8 是 和 9 十 … 十 98 ， 这 确保 状态 H 与 状态 一 % 一 * 十 8 是 区 域 
等 价 的 。 m 

现在 让 建立 一 个 关于 时 钟 区 域 数 的 边界 。 对 时 钟 变 量 zx， 时 钟 区 域 指定 时 钟 x AY 
否 等 于 整数 4， 其 中 4 的 可 能 值 是 0，1，…，k,， 无 论 时 钟 z 的 值 是 否 超过 k,， 或 者 无 论 
时 钟 x 的 值 是 否 是 严格 是 整数 d 一 1~d， 其 中 4 的 可 能 值 的 选择 是 1，2，…，k;。 根 据 时 
Bh z 的 约束 这 给 出 了 总 共 2k, +2 种 选择 。 这 说 明 由 积 L (2k; 十 2) 给 出 轴 平 行 约 束 的 分 区 
的 总 数 。 关 于 小 数 部 分 的 顺序 ， 如 果 时 间 自 动机 有 mm 个 时 钟 变量 ,那么 我 们 得 到 m! 个 可 
能 的 顺序 。 最 后 ， 对 于 这 个 排序 中 的 每 对 相 邻 的 时 钟 变量 zx 和 >y， 时 钟 区 域 基于 时 钟 工 的 
小 数 部 分 是 否 严 格 小 于 时 钟 y 的 小 数 部 分 或 两 者 是 否 相 同 来 加 以 区 分 。 这 提供 了 额外 的 
2” 种 选择 。 总 共 可 能 的 时 钟 区 域 数 最 多 为 2”，m! ， I (2k, 十 2)。 这 个 边界 是 不 准确 的 。 
特别 是 ， 这 种 计算 考虑 每 个 区 域 中 的 所 有 时 钟 的 小 数 部 分 的 排序 ， 但 当 一 个 时 钟 x 等 于 整 
数 d 时 ， 其 小 数 部 分 保证 是 0， 因 此 时 钟 区 域 的 实际 数 小 于 这 个 边界 。 但 是 ， 这 种 边界 有 
助 于 理解 时 钟 区 域 数量 如 何 变化 : 该 数 随时 钟 呈 指 数 增长 ， 并 且 与 描述 中 使 用 的 常量 的 积 
成 正比 增长 。 

使 用 区 域 等 价 性 的 搜索 

我 们 已 经 研究 如 何 利用 区 域 等 价 性 将 时 钟 赋值 的 无 限 空间 分 解 为 有 限 多 个 时 钟 区 域 。 
现在 ， 我们 可 以 采用 on-the-fly 深度 优先 搜索 算法 来 计算 图 3-16 中 的 时 间 自 动机 的 可 达 
性 。 与 枚 举 状 态 不 同 ， 该 算法 枚 举 区 域 ， 其 中 每 个 区 域 指定 一 个 离散 状态 和 一 个 时 钟 区 域 。 

图 7-25 说 明 某 些 区 域 在 图 7-23 的 时 间 自 动机 中 是 可 达 的 。 初 始 区 域 通过 [RAR，z=y 一 0 
来 描述 ， 其 中 包括 一 个 具有 模式 六 的 单独 状态 和 对 应 于 单个 时 钟 赋值 (0，0) 的 时 钟 区 域 。 
在 该 区 域 中 ， 状 态 以 两 种 方式 改变 : 由 于 输入 事件 0， 产生 由 [B，z 王 > 一 0] 描 述 的 区 域 ; 
由 于 时 间 动 作 的 最 大 持续 时 间 为 2， 产 生 [A,， 0<zx=y<1]、[A, z==y 二 1 或 [A, 1<x< 
2，y 这 1] 这 3 个 区 域 之 一 。 由 于 时 间 动 作对 应 于 后 继 的 边 在 图 7-25 中 用 符号 + 标记。 该 图 
显示 了 这 4 个 区 域 每 个 的 后 继 。 例 如 ， 考 虑 区 域 [A，1 二 z+ 二 2，y 二 1]。 如 果 输 入 事件 5 发 
生 ， 然 后 模式 切换 为 B， 时 钟 y 重 置 ， 导 致 区 域 L[B，1<z<2，y 一 0]。 因 为 守卫 (z 之 1) 是 
使 能 的 ， 所 以 可 以 发 生 输 出 事件 c， 重 置 时 钟 灾 ， 导 致 区 域 [R，z 王 0，y 二 1]。 第 三 种 可 
能 性 是 时 间 动 作 。 给 定 状 态 *， 它 满足 约束 (1<z 和 2) 和 (y 盖 1)， 可 以 找到 持续 时 间 6 二 0 
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使 得 s 十 6 hig BAR <2<2)Al(y>1). RET PER LA, 1Kr<2, poll ki ch 
记 自 循环 。 由 于 时 钟 不 变量 (z 二 2),， EARE, e=2, yll ÆR TTA. 


B,1<x<2,y=0 


b? 





图 7-25 使 用 时 间 区 域 的 搜索 


我 们 知道 图 7-23 中 的 时 间 自 动机 的 两 个 示例 执行 ， 使 得 在 每 一 个 步 ， 对 应 状态 是 区 
域 等 价 的 。 这 两 个 执行 对 应 于 下 面 的 执行 ， 它 们 记录 区 域 而 不 是 具体 状态 : 


T b? 
[asz = y = 0] —>[a,0<2 = y<1]— [B0 <r <1, y= 0] 
Tt Cc! 
—>[B,0< y<l<a<yt+l1)——[Aa0< y<l<a2e<ytl1] 
al 
—+[a0<y<l<2<ytl)—[az=0<y< 1) 


—+[al<2<2<y]—>[al<2<2<y] 

在 该 例子 中 ， 有 两 个 离散 状态 (模式 可 以 是 AMA B), TER 7-24 中 最 多 有 28 个 时 钟 
区 域 。 这 意味 着 深度 优先 算法 可 以 搜索 只 56 个 可 能 的 区 域 。 通 常 ， 如 果 不 是 时 钟 的 变量 
的 类 型 是 有 限 的 ， 那 么 只 有 有 限 多 个 离散 状态 ， 因 此 只 有 有 限 多 个 区 域 ， 并 且 深 度 优 先 搜 
索 算 法 搜索 区 域 保 证 会 停止 。 

给 定时 间 自 动机 TP 的 属性 p， 该 属性 通常 是 一 个 它 的 状态 变量 的 布尔 表达 式 ， 什 么 
时 候 我 们 可 以 利用 基于 区 域 的 搜索 来 决定 属性 g 是 否 是 自动 机 TP 的 不 变量 ? 如 果 属 性 p 
只 引用 离散 变量 ， 那 么 因为 基于 区 域 的 搜索 跟踪 离散 状态 ， 所 以 它 适合 检查 属性 p 是否 在 
每 一 个 可 达 区 域 都 成 立 。 如 果 属 性 也 引用 了 时 钟 变量 ， 那 么 只 要 这 些 引 用 与 分 区 一 致 ， 则 
基于 区 域 的 搜索 就 是 合适 的 ， 即 在 属性 o 中 涉及 时 钟 变量 的 每 一 个 原子 约束 具有 形式 zx 三 
d 或 者 + 宇 d。( 对 于 某 个 整数 4 三 k;) 换 句 话 说 ， 设 op 是 这 样 的 属性 ， 无 论 何 时 两 个 状态 s 
和 t+， 是 区 域 等 价 的 ,要么 同时 满足 属性 yg 或 同时 不 满足 属性 p。 因 此 ， 这 样 的 属性 9 称 
为 区 域 不 变量 属性 。 对 于 这 样 的 区 域 不 变量 属性 pg， 检查 时 间 自 动机 的 所 有 可 达 状 态 是 否 
满足 属性 pg， 使 用 基于 区 域 的 搜索 它 是 以 检查 所 有 可 达 区 域 是 否 满 足 属性 po 

时 间 自 动机 的 分 析 可 以 方便 地 适用 于 处 理 合理 的 常量 。 在 7.2.2 节 的 音频 控制 协议 
中 ， 模 型 有 形 如 (5 一 5s 委 > 委 5 十 5e) 的 约束 ， 其 中 se 是 合理 值 常量 ， 如 1/15。 为 了 处 理 这 
样 的 模型 ， 可 以 简单 地 用 因子 1/15 乘 以 所 有 的 常量 ， 使 它们 成 为 整数 而 不 是 改变 模型 中 
可 能 的 执行 。 

我 们 通过 定义 区 域 等 价 性 得 到 这 节 的 结论 ， 使 用 此 由 产生 的 等 价 类 分 析 (更 确切 地 ， 
对 于 深度 优先 搜索 )， 得 出 区 域 等 价 性 是 抽象 的 通用 概念 的 一 个 实例 。 具 体 状 态 ， 如 二 A， 
0.2，0. 3 清 被 区 域 ， 如 [A，0 过 x 二 y 二 1] 了 取代。 这 样 的 映射 移 除 了 某 些 细节 ， 因 此 称 为 一 
种 抽象 ， 这 样 的 区 域 称 为 抽象 状态 。 由 于 许多 具体 状态 映射 为 相同 的 抽象 状态 ， 所 以 通过 
抽象 状态 搜索 更 有 效 。 定 理 7. 1 表明， 在 时 间 自 动机 中 ， 这 个 使 用 区 域 的 特殊 抽象 保持 足 
够 的 信息 ， 因 此 基于 抽象 状态 的 搜索 精确 地 描述 哪些 个 输入 输出 事件 序列 是 可 用 的 以 及 区 
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域 不 变量 属性 是 否 是 系统 的 不 变量 。 
练习 7. 11: 考虑 图 7-23 中 的 时 间 自 动机 ， 列 出 所 有 可 能 区 域 [A，z 二 0，y 这 1] 和 区 域 [B， 0<r=y<1] 
的 后 继 区 域 。 


练习 7. 12: 考虑 具有 3 个 时 钟 <-，y 和 zz 的 时 间 自 动机 ，k: 二 k, 二 二 1。 列 出 该 自动 机 所 有 可 能 的 时 钟 区 域 。 
练习 7.13" : 证 明 时 间 自 动机 的 每 一 个 时 间 动 作 可 以 分 解 为 时 间 行 为 动作 的 序列 ,使 得 在 每 个 该 状态 或 
者 与 该 子 动作 的 初始 状态 或 者 与 结束 状态 是 区 域 等 价 的。 形式 上 ， 考虑 时 间 自 动机 的 一 个 
状态 * 和 持续 时 间 5。 证 明 存 在 状态 s=s0, sis o> 5, = std MIER i oo, On, HP At 
… 十 6, = 二 6， 使 得 对 于 每 一 个 i，5 二 5,-1 十 6;， 对 于 每 一 个 0e 二 6 ， 状 态 %-1 十 E 或 者 与 状 
态 5; 或 者 与 -1 是 区 域 等 价 的。 找到 一 个 作为 自动 机 时 钟 变量 数 mn 的 函数 的 一 个 边界 5， 
使 得 每 一 个 时 钟 动作 可 以 分 解 为 这 个 期 望 形式 的 最 多 65 个 子 动作 。 
练习 7. 14" : 假设 我 们 修改 了 时 间 自 动机 的 定义 使 得 时 钟 变量 可 以 重 置 为 常量 ( 即 ， 对 于 时 钟 变 量 zx， 多 
许 的 赋值 形式 为 z :=d， 其 中 4d 是 一 个 非 负 整 型 常量 )， 测试 可 以 用 常量 表示 时 钟 变量 之 间 
的 差 ( 即 ， 涉 及 时 钟 变量 的 每 一 个 表达 式 具有 形式 <k, >k KH r y<k, HP kE 
”个 整 型 常量 )。 怎 样 修改 基于 时 钟 赋值 的 区 域 等 价 性 的 定义 ， 使 得 只 有 有 限 多 个 时 钟 区 域 ， 
并 且 定 理 7. 1 仍 成 立 ? 


7.3.3 基于 矩阵 表示 的 符号 分 析 


区 域 等 价 性 允许 将 时 钟 赋值 的 无 限 空间 划分 为 有 限 多 个 区 域 ， 使 用 枚 举 所 有 可 达 区 域 
的 搜索 算法 我 们 已 经 知道 如 何 将 区 域 等 价 用 于 时 间 自 动机 的 不 变量 验证 。 虽 然 定 理 7. 1 表 
明 跟 踪 时 钟 区 域 来 验证 时 钟 不 变量 属性 的 办 法 是 充分 的 ， 但 这 样 的 精细 划 对 分 解决 特殊 不 
变量 验证 问题 不 是 必要 的 。 例 如 ， 考 虑 图 7-25 中 从 初始 区 域 [A; z= 二 y= 二 0j 开 始 的 可 达 区 
域 的 搜索 。 我 们 可 以 用 单个 集合 [ARA，0 过 z=>y 过 2] 表示 从 初始 区 域 开始 的 时 间 动 作 的 结 
果 ， 而 不 是 枚 举 对 应 于 时 间 动 作 的 初始 区 域 的 3 个 后 继 区 域 [A, 0<r=y<1], [A, c= 
y 三 1] 和 [A，1 二 x 二 2，y 之 1。 在 本 节 中 ， 考 虑 一 个 称 为 时 钟 区 的 符号 表示 ， 该 时 钟 区 允 
许 分 析 类 中 的 时 钟 区 域 而 不 是 以 某 种 方式 枚 举 它们 ， 这 是 一 种 高 效 表 示 和 操作 方式 。 

使 用 时 钟 区 的 时 间 分 析 案 例 

为 了 解释 符号 分 析 技 术 ， 让 我 们 考虑 图 7-26 中 的 时 间 自 动机 。 时 间 约 束 的 检查 说 明 
模式 D 是 不 可 达 的 ， 即 不 能 遍历 路 径 A、B、cC、D。 同 样 ， 模 式 E 是 不 可 达 的 ， 但 是 可 以 
到 达 模 式 F。 通 过 对 模式 c 的 时 钟 不 变量 中 的 时 钟 值 和 与 离开 模式 c 的 切换 相关 联 的 守卫 
的 局 部 约束 检查 它 是 明显 的 ， 但 当 执 行 到 达 模 式 C 时 ， 它 基于 对 时 钟 x1 和 zz 的 值 的 隐 含 
约束 。 这 说 明 分 析 的 性 质 需要 检查 基于 时 间 的 互 斥 协议 是 否 满 足 互 斥 需求 : 在 图 7-9 中 的 
时 间 进 程 的 多 个 实例 的 并 行 组 合 中 ， 在 满足 每 一 步 的 守卫 和 时 钟 不 变量 施加 的 时 间 约 束 
时 ， 可 能 在 模式 crit 到 达 具 有 两 个 进程 的 状态 吗 ? 






(x, = 3) x, := 0 





clock x,,x,:=90 (x, = 2)? 


图 7-26 分 析 执 行 的 时 间 可 行 性 的 例子 
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这 个 例子 中 的 状态 包括 从 枚 举 集合 {A，B，C，D，E，F}) 中 的 模式 和 时 钟 变量 rn ay 
的 值 (每 个 时 钟 变量 的 值 都 是 非 负 实 值 )。 我 们 可 以 通过 将 时 钟 赋值 的 空间 划分 为 时 钟 区 域 
来 利用 有 限 状 态 分 析 ， 但 是 对 于 图 7-26 中 的 自动 机 ，k =7, kh. =6, BIR, AERA MT Hp 
区 域 ( 确 切 地 说 ， 是 140 个 )， 我 们 希望 避免 单独 考虑 所 有 这 样 的 时 钟 区 域 。 为 此 ， 我 们 概 
括 时 钟 区域 的 概念 为 时 钟 区 ， 时 钟 区 是 时 钟 赋值 的 子 集 ， 用 特殊 形式 的 zi 和 xz; 约束 表示 ， 
受制 于 单个 时 间 变 量 的 值 和 两 个 时 间 变 量 值 的 差 。 

最 初 ， 两 个 时 钟 都 是 0， 导 致 约束 为 : 

Cz = OF. REC ss 0 MN Cr — B=.) i 

这 用 图 7-27 的 时 钟 区 RER. BEHARA A 的 时 钟 赋值 的 集合 用 约束 R。 表 示 ， 当 
进程 在 模式 A 中 等 待 时 我 们 可 以 使 用 时 间 动 作 计 算 可 以 达到 的 时 钟 赋 值 的 集合 。 时 钟 zi 
的 值 递增 ， 但 是 由 于 时 钟 不 变量 与 模式 相关 联 ， 所 以 它 不 能 超过 5， 这 给 出 约束 la < 
5。 可 以 看 出 ,在 时 间 动 作 中 ， 时 钟 值 的 差 保持 不 变 ， 所 以 从 R 得 到 的 约束 (zi — x, =0) 
保持 不 变 。 这 两 个 约束 表示 关于 时 钟 z, 值 的 边界 ， 这 给 出 了 时 钟 区 Ri 的 描述 ; 

CO <a, <5) A Oma = 5) A ama 0 

注意 ，R 由 多 个 时 钟 区 域 组 成 ， 例 如 拐角 点 zi 二 zz 二 3 以 及 线段 3 二 zi 二 xz; 二 4。 还 可 
以 看 到 能 够 从 时 钟 区 Ro 开始 到 达 的 时 钟 区 域 的 数量 ,与 出 现在 模式 A 的 时 钟 不 变量 中 的 
常数 5 成 比例 ， 由 于 时 间 动 作 ， 虽 然 总 是 存在 一 个 单独 的 时 钟 区 ， 它 使 用 从 时 钟 区 R IF 
始 的 时 钟 动作 捕获 所 有 可 达 的 时 钟 赋值 。 










x,=0 35x,<5 3 <Sx, <7 
=0 x,=0 2<x,<4 
%,-%,=0 3<x%,-%, <5 3<x,-x, <5 (x, = 6)? 
Clock-zone Ro Clock-zone R, Clock-zone R, 










clock x,, x, := 0 (x, = 3)—x, :=0 (x, = 2)? 


0<x,<5 3<x, <7 5<x,<8 

0S<x, <5 0<x,<4 25x55 

X,-%,=0 3 Sx, 85 3 Sx,-% S5 
Clock-zone R, Clock-zone R, Clock-zone R; 


7-27 推断 和 传播 时 钟 约束 


集合 R, 描 述 了 进入 模式 B 的 时 钟 赋值 集合 ， 以 便 通过 将 时 钟 区 R 与 守卫 条 件 (z1 宇 3) 

相交 并 设置 时 钟 zz: 为 0 以 便 来 计算 R,。 期 望 的 时 钟 区 Rs 由 以 下 约束 来 描述 : 
Say =D) A =O) A C= se ae = 5) 

注意 隐 伟 条 件 (3 志 zz 一 zx; 生 5)。 

这 个 过 程 可 以 重复 应 用 。 时 钟 区 R; 描 述 
了 随 着 模式 B 中 时 间 流 逝 的 可 达 的 时 钟 赋值 
的 集合 ， 时 钟 区 R, 描 述 进 入 模式 c 的 时 钟 赋 
值 的 集合 。 为 了 得 到 关于 计算 的 直观 印象 ， 
参见 图 7-28。 时 钟 区 Rs 是 zz 二 3 和 zz 二 5 之 
间 的 zz=0 的 线段 。 随 着 时 间 的 演化 ， 该 线 
段 沿 着 线 (zi 一 zs 二 3) 和 线 (zj 一 z= 二 5) 之 间 
的 对 角 线 移动 。 垂 直线 zi = 二 7 捕获 时 钟 不 变 
量 并 限制 模式 B 中 的 可 达 时 钟 赋值 。 因 此 时 图 7-28 说 明 时 钟 区 操作 
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钟 区 域 R, FER (a2 =0), (4 =7), (rrn =3), Ma ae =D ZAR. Hest B 到 模 
A C 的 模式 切换 的 守卫 条 件 意味 着 这 个 梯形 应 该 与 约束 (zx; 宇 2) 相 交 ， 导 致 三 角 时 钟 区 R,。 

时 钟 区 R; 描 述 在 模式 c 中 随 着 时 间 的 流逝 可 达 时 钟 赋值 的 集合 ( 见 图 7-27)， 这 由 以 
下 约束 条 件 描述 : 

(<2,<8) A 2Q<2,<5) A (3<2,—x% <5) 

这 个 条 件 精确 地 捕获 了 沿 着 到 模式 c 的 路 径 时 间 约 束 的 累积 效应 。 这 个 时 钟 区 与 切换 到 
模式 D 的 守卫 条 件 r26 的 交集 是 空 集 ， 这 表明 模式 D 是 不 可 达 的 。 类 似 地 ， 时 钟 区 R Soy 
卫 条 件 (zi 二 4) 的 交集 也 是 空 集 ， 所 以 模式 五 是 不 可 达 的 。 集 合 R; 与 守卫 条 件 (zi 三 7) 的 交集 
给 出 一 个 非 空 集合 ， 即 (zi =A CKA), ERT EARR F 的 时 钟 值 的 集合 。 

差分 边界 矩阵 

表示 时 间 分 析 时 提出 的 约束 的 最 自然 的 方法 是 使 用 基于 矩阵 的 表示 。 让 我 们 设想 时 间 
A SOLA m 个 时 钟 变量 ; z ，zz ，…，zw。 我 们 用 虚拟 时 钟 zo。 表示 常数 0。 那 么 时 钟 区 可 
以 用 m+ SER ER 表示 : 矩阵 的 第 (i， 门 个 元 素 表 示 差 (zx; 一 zx;) 的 上 界 。 

我 们 用 符号 常量 吕 表 示 一 个 大 的 值 ， 这 个 值 也 用 于 表示 一 个 不 存在 的 边界 。 更 具体 
地 ， 令 Bounds 是 一 个 包含 符号 常量 ce 的 整数 集合 int。 可 以 以 下 述 方式 将 对 整数 的 通用 
运算 (比较 、 最 小 值 和 加 法 ) 扩 展 到 集合 Bounds 中 : 对 于 每 一 个 整数 n， WE nK, (n, 
co)=n Aln-+co=co, 

Int Bt BX A (mm + 1) AEA MER eas. RE Bounds 中 的 元 素 ， 它 表示 为 约束 的 合 取 : 

(2; —2,) <R, 


第 0 列 ( 即 元 素 Rao) 给 出 了 时 钟 GER, 0 行 ( 即 元 素 Ru) 给 出 了 时 钟 一 元 的 上 界 
(因此 ， 这 些 元 素 的 否定 捕获 捕获 时 钟 zx; 的 下 界 )。 这 种 描述 时 钟 值 差 的 限制 的 矩阵 称 为 差 
dy ih Ft #6 (Difference Bound Matrix, BM), 

再 看 图 7-27 WAF, BSR R 用 下 面 的 DBM 表示 : 

O U 
0 0“ 
5 0 g 








时 钟 区 R; 用 下 面 的 DBM 表示: 

geen Eeg 
8 0 5 
ss 0 

注意 ， 第 一 行 中 关于 a WARS ERT r WERE— S5, KF (2, 一 zz) 的 下 界 是 3 
BEF EC, zr HEFAF—-3. 

这 种 表示 (以 及 基于 区 分 析 的 例子 ) 在 讨论 时 ， 假 定 关于 时 钟 值 的 约束 不 会 在 否定 内 出 
现 。 否 定 约 束 如 一 (zi 宇 2) 等 价 于 严格 不 等 式 (zi 二 2)。 在 这 种 约束 存在 的 情况 下 ， 我们 需 
要 区 分 非 严格 上 界 2( 由 约束 zi 二 2 生成 ) 和 严格 上 界 约束 2(zi 到 2 产生 )。 这 需要 用 布尔 标 
志 标 记 每 一 个 整数 部 分 的 边界 ， 该 标志 说 明 相 关联 的 约束 是 严格 的 还 是 非 严格 的 。 使 用 
DBM 的 表示 和 处 理 DBM 的 技术 可 以 用 来 处 理 这 种 区 别 ( 见 练习 7. 19) 。 

DBM 操作 

关于 算法 和 约束 的 有 效 推理 的 关键 见解 (在 图 7-27 中 的 例子 中 ， 在 时 钟 区 Ri 的 描述 中 
有 必要 根据 约束 (zi 一 zs 二 0) 和 (zi 二 5) 得 到 约束 (zx; 三 5)) 如 下 所 示 。 因为 Rj 是 差 (Zz; 一 x1) 
的 上 界 ，R; 是 差 (z/ 一 xz;) 的 上 界 ， 所 以 (R; +R ) 是 差 (z; 一 zj) 的 推测 上 界 。 如 果 元 素 Rs 
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大 于 和 (Rs 十 R;)， 则 我 们 可 以 用 推测 边界 (Rs 十 Ry ACF R; 来 加 严 上 界 R;。 
DBM R 是 规范 的 当 且 仅 当 
对 于 所 有 的 0&i, js Km, R; 寺 (Ri 十 R,) 
这 就 是 说 ， 在 规范 矩阵 中 ， 每 个 元 素 Ri 代表 可 以 从 (z; 一 zj;) 推 断 出 的 更 严格 的 边界 。 
图 7-29 显 示 了 一 个 计算 输入 DBM 规范 版 本 的 算法 。 
上 界 的 加 严 和 算法 的 计算 可 以 通过 作 
为 加 权 有 向 图 的 DBM 的 另 一 种 视图 更 容 | Gal MARRANA A, SA MENA NR 
易 地 理解 。 考虑 具有 m+1 个 顶点 《zo5 for 1 =0tomt{ 
Tis s Zn) WE. 每 一 对 顶点 2 和 工 )， BF yan 
从 顶点 到 到 zj; 有 一 条 边 ， 它 的 成 本 是 Ri 。 R[i, j] :=min(R{i, jl, Rli, 1] +RIĻ, j1) 
Ra AUR; 相 加 给 出 由 两 条 边 组 成 的 从 顶点 FRE TE 
Zi 到 zi 的 一 条 路 径 的 成 本 。 如 果 这 个 成 本 } 
小 于 从 car AEB AMA, WAB | leturnR 
的 值 蔡 换 这 条 边 的 成 本 。 一 般 来 说 ， 两 个 
顶点 之 间 具 有 最 小 的 成 本 的 路 径 给 出 对 应 E 7-29 DMB 规范 化 算法 
时 钟 之 间 差 的 最 严格 的 上 界 。 然 后 DBM 可 以 转换 成 一 个 典范 和 矩阵， 通过 执行 最 短路 径 算 
法 (或 者 等 价 地 ， 传 递 闭 包 构 造 )。 图 7-29 中 的 算法 确实 是 经 典 的 Floyd-Warshall 最 短路 
径 算法 。 在 最 外 层 循环 中 ， 变 量 / 的 值 从 0 到 m 变化 ， 在 每 次 迭代 中 ， 对 于 所 有 对 (i， 
让， 元 素 R[i， 门 只 使 用 顶点 索引 二 7 捕获 从 顶点 zx; 到 顶点 xj 的 最 短路 径 ， 即 使 用 涉及 变 
BRIS 约束 关于 的 (xz; 一 z;) 的 最 严格 的 上 界 。 
作为 例子 ,假设 m=3 并 考虑 下 列 约束 给 出 的 时 钟 区 
C1 say <3) A Cos SO). A 00 S ws BDA Ce eg = NM (nT 2 
将 这 些 约束 转换 为 DBM 表示 可 以 给 出 矩阵 R: 
(二 0 0 
3 0—2 co 
co co 0 1 
3 So) 一 二 0 
图 7-30 显示 了 对 应 的 图 表示 。 注 意 ， 当 一 个 矩阵 元 素 是 ce 时 ， 对 应 的 边 是 不 存在 的 。 
而 且 ， 成 本 为 0 的 自 循环 也 没有 显示 出 来 。 
规范 化 后 的 矩阵 是 : 





0. 一 1 
5 8 
4 it 
peer 
这 个 矩阵 对 应 于 图 7-30 右边 的 图 。 验 
证 右边 的 图 ， 一 对 顶点 之 间 的 边 的 成 本 对 
应 于 左 图 中 这 些 两 个 顶点 之 间 的 最 短 ( 就 总 
成 本 而 言 ) 路 径 ( 例 如 ， 从 顶点 zi 到 顶点 xo 
的 最 短路 径 是 Tis Tzs T3, to, ME E 
一 2 十 1 十 3 一 2) 。 
规范 化 算法 也 需要 处 理 如 下 问题 : 给 图 7-30 规范 化 示例 
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定 一 个 DBM R, R 表示 的 所 有 约束 的 合 取 是 可 满足 的 吗 ? 可 以 得 出 矩阵 R 表示 的 约束 的 

不 可 满足 集合 ， 因 此 时 钟 赋值 是 空 集 当 对 应 的 图 有 人 负 成 本 的 环 路 时 。 例 如 ， 考 虑 约束 

(zl 宇 1) 和 (zs 夺 2) 和 2 声 (zi 一 zi) 三 3。 这 些 约束 是 不 可 满足 的 ， 对 应 于 空 时 钟 区 。 在 

DBM 表示 中 ， 由 于 第 一 个 约束 ， 我 们 设置 Ru 为 一 1; 由 于 第 二 个 约束 ， 我 们 设置 RoW 

2, 第 三 个 约束 给 出 Ry» = 一 2 Fl Ra =3. 将 Ro 和 Ris 相 加 意味 着 Ru 必须 加 严 为 一 3， 并 将 

Roo 和 R;, 相 加 ， 意味 着 Rw, 必须 加 严 为 一 1。 在 图 形 视 图 中 ， 从 工 到 zi 边 的 成 本 为 一 1， 从 

ZI 到 zz 的 边 的 成 本 为 一 2， 从 zs 到 zo 的 边 的 成 本 为 2， 这样 形成 了 一 个 成 本 为 负 值 的 环 

路 。 在 这 种 情况 下 ， 重 复 这 个 环 路 ， 进 一 步 降 低 了 成 本 ， 但 是 DBM 不 是 规范 的 。 在 图 7- 

29 的 算法 中 ， 如 果 某 个 元 素 R; 从 0 降低 到 某 个 负 值 ， 那 么 该 算法 检测 到 一 个 具有 负 成 本 

的 环 路 并 返回 对 应 于 空 时 钟 区 的 输入 DBM 的 答案 。 如 果 输 入 DBM 代表 一 个 非 空 时 钟 区 ， 

那么 算法 尽 可 能 加 严 约 束 所 有 元 素 ， 输 出 DBM 是 输入 DBM 的 规范 版 本 。 

让 我 们 考虑 对 DBM 有 用 的 一 些 操作 。 
o 原子 约束 : 考虑 一 个 原子 约束 (x; 三 k),， 上 为 常数 。 为 了 获取 表示 这 个 约束 的 DBM 

R， 我 们 先 设 置 所 有 对 角 线 元 素 Rj; 为 0( 对 于 0 二 jm); 设置 元 素 Rw 为 来 反映 关 

于 差 (zx; 一 xo) 的 上 界 ; 设置 元 素 Ru 为 0，( 对 于 0 二 7] 声 m) 来 反映 隐 含 假设 (x) 宇 0) 

成 立 ， 对 于 每 个 时 钟 变 量 设置 所 有 剩余 的 元 素 R 为 ce ， 表 示 没 有 明确 的 边界 。 然 

后 ， 我 们 使 用 图 7-29 的 算法 将 这 个 DBM 转化 为 规范 的 。 

交集 : 考虑 两 个 DBM R 和 尺 ' 的 规范 形式 。 为 了 计算 这 些 和 矩阵 表 示 的 时 钟 区 的 交 

集 ， 我 们 只 设置 简单 地 交集 的 第 (i， 站 个 元 素 是 R; 和 R' 最 小 值 。 然 后 ,我们 可 以 

测试 由 此 产生 的 矩阵 是 否 是 空 的 ， 如 果 不 是 空 的 ， 使 用 图 7-29 的 算法 将 它 规范 化 。 

并 将 操作 用 于 捕获 时 钟 变 量 的 效应 和 测试 出 现在 模式 切换 中 的 守卫 条 件 的 影响 。 

e 时 间 消 逝 : 给 定 一 个 规范 DBM R 它 代表 一 个 时 钟 区 ， 为 了 使 用 时 间 动 作 计算 从 集 
合 RR 开 始 可 以 到 达 的 时 钟 赋值 的 集合 (不 考虑 时 钟 变量 施加 的 上 界 )， 我们 简单 地 设 
置 元 素 Ro, QF 1 三 im) 为 co。 随 着 时 间 的 消逝 ， 时 钟 值 递 增 ， 所 以 关于 单个 
时 钟 值 的 上 界 改 变 为 cc 。 关 于 时 钟 值 的 下 界 和 时 钟 差 的 边界 由 于 时 间 动 作 不 改变 。 

@ 时 钟 重 置 : 给 定 一 个 规范 DBM R 和 一 个 时 钟 x;，( 对 于 l<i<m), RIITA 

关于 DBM 的 操作 ， 使 结果 捕获 时 钟 赋值 的 集合 ， 该 集合 是 从 R 中 的 时 钟 赋值 开始 

通过 将 时 钟 x; 赋值 为 0 获得 的 。 

子 集 测 试 : 如 果 尺 和 R' 是 两 个 规范 的 ( 非 空 的 )DBM， 则 DBM R 表示 的 时 钟 区 是 

DBM R' 表 示 的 时 钟 区 的 一 个 子 集 ， 当 每 个 Oi, jm, Ry 三 R; 时。 特别 是 ， 两 

个 规范 的 ( 非 空 的 )DBM 代表 相同 的 时 钟 区 当 所 有 它们 各 自 的 元 素 都 匹配 时 。 

可 达 性 分 析 
为 了 验证 时 间 系 统 的 安全 性 需求 ， 我 们 可 以 使 用 时 钟 区 利用 3. 3 节 的 on-the-fly 深度 

优先 搜索 算法 。 区 可 表示 为 一 个 对 子 (s，R)， 其 中 离散 状态 s 记录 所 有 的 离散 变量 的 值 和 

R 是 捕获 时 钟 赋值 集合 的 非 空 规范 DBM。 基 本 搜索 机 制 不 变 。 特 别 是 ， 按 需 搜索 和 检查 

K, 一旦 过 到 违反 安全 性 属性 算法 就 终止 ， 使 用 时 钟 区 的 时 钟 赋值 的 聚 类 是 足够 的 只 要 被 

检查 的 属性 是 区 域 不 变量 。 

对 于 一 个 区 (s，R)， 可 以 使 用 时 间 动 作 考 虑 时 间 流 逝 的 效应 来 获得 可 能 的 后 继 区 。 为 

此 ， 这 个 算法 首先 将 DBM R 与 对 应 于 离散 状态 s 的 时 钟 不 变量 相交 ， 更 新 矩阵 R 来 反映 

时 间 的 流逝 (通过 设置 第 0 列 中 的 元 素 为 cc)， 然 后 再 次 将 它 与 对 应 于 离散 状态 s 的 时 钟 不 

变量 相交 。 注 意 ， 对 应 于 每 个 离散 状态 s 的 时 钟 不 变量 也 需要 表示 为 DBM， 这 样 的 DBM 
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可 以 使 用 对 应 于 原子 约束 和 交集 的 结构 获得 。 在 每 一 步 ， 产 生 的 测试 DBM 是 否 为 空 ， 如 
果 不 为 空 ， 则 它 是 规范 的 。 

对 于 区 (*，R) ， 对 应 于 离散 迁移 的 后 继 ， 也 就 是 ， 执 行 输入 的 执行 ， 输 出 的 执行 ， 或 
内 部 任务 的 执行 ， 使 用 以 下 步骤 来 计算 。 首 先 ， 我 们 计算 DBM R 4 DBM 的 交集 ，DBM 
捕获 相应 任务 的 守卫 条 件 的 时 钟 值 的 约束 。 如 果 这 个 交集 是 一 个 空 集 ， 那 么 这 个 任务 不 是 
使 能 的 ， 否 则 由 此 产生 的 DBM 是 规范 的 。 然 后 根据 任务 的 更 新 描述 更 新 离散 变量 的 离散 
状态 。 如 果 更 新 涉及 设置 时 钟 变量 为 0， 那 么 将 时 钟 重 置 操作 应 用 于 DBM 部 分 。 

形式 如 (s，R) 的 区 存储 在 包含 目前 为 止 已 访问 区 的 散 列表 Reach 中 。 在 检查 区 (s，R) 
时 ， 如 果 一 个 形 为 (5，R') 的 区 ， 其 中 DBM R 是 DBM R' 的 子 集 ， 之 前 已 经 访问 过 ， 那 么 
该 算法 认为 该 区 域 是 访问 过 的 。 为 实现 这 次 检查 ， 给 定 一 个 离散 状态 *， 需 要 有 一 种 有 效 
的 方式 来 访问 所 有 DBM R 的 集合 ， 使 得 区 (s，R) 以 前 已 经 被 访问 过 。 

可 以 看 到 搜索 算法 有 一 个 枚 举 和 符号 特点 的 混合 : 通过 明确 地 列举 离散 变量 的 来 被 处 
理 它们 ， 使 用 表示 为 DBM 的 约束 来 处 理 时 钟 变量 。 对 于 有 限 状态 时 间 自 动机 ”离散 状态 
s 的 选择 数量 是 有 界 的 (有 一 个 前 验 值 )， 基 于 区 的 搜索 保证 可 以 终止 。 

使 用 时 钟 区 的 搜索 算法 已 经 在 相关 工具 中 实现 了 ， 如 模型 检查 器 Uppaal( 见 
www. uppaal. com), 。 相 同 的 思想 也 用 于 修改 第 5 章 的 艇 套 深 度 优 先 搜索 算法 (用 于 检查 时 
间 系 统 的 活性 属性 ) 。 
练习 7. 15: 假设 时 间 自 动机 有 两 个 时 钟 zi A ao EARR A N BERTIE GST SOMAS 一 

xı <6) FI Cr Z0): 

1) 说 明 对 应 于 给 定 约束 的 DBM。 

2) 问题 1) 中 的 DBM 是 规范 的 吗 ? 如 果 不 是 规范 的 ， 获 取 一 个 规范 的 形式 。 

3) 设想 模式 A 的 时 钟 不 变量 是 (zx, 三 5)。 计 算 规 范 DBM， 当 进程 正在 模式 A 中 等 待 时 ， 它 捕 


获 可 达 的 时 钟 变 值 的 集合 。 
4) 考虑 模式 A 的 模式 切换 ， 它 具有 和 守卫 (zi 宇 7) 和 更 新 x1 二 0。 计 算 规 范 DBM， 它 捕获 在 这 
个 迁移 后 可 能 的 时 钟 值 的 集合 。 
A B a 






(x, = 2) x, :=0 





clock X,%,x3:=0 


图 7-31 DBM 练习 


练习 7. 16: 考虑 图 7-31 所 示 的 时 间 进 程 ， 它 有 3 个 时 钟 。 计 算 表 示 为 规范 DBM 的 时 钟 值 的 集合 Ra, 
Ra， Rs, Rb, Rc 和 Re， 使 得 每 一 个 DBM Ra, Rs, Rc 捕获 可 能 的 时 钟 值 当 进入 相应 模式 
时 ,并且 每 一 个 DBM R4、R2 、Rc 可 能 的 时 钟 值 当 进 程 在 相应 模式 中 等 待 时 。 
练习 7. 17: 考虑 一 个 非 空 规范 DBM R 和 索引 lim, RHA ITH DBM R， 它 捕获 时 钟 x 设置 
为 0 的 效应 。 也 就 是 说 ，R' 应 该 表示 所 有 了 时钟 赋值 v 的 集合 ， 使 得 wv 二 wu[zx;->0]， 对 某 个 
uER, 
练习 7. 18: 对 于 mm 一 3， 考 虑 下 式 给 定 的 约束 
SA oe) A AS oe SO At — A A te Sy = 2 
画 出 有 4 个 顶点 的 加 权 有 向 图 来 描述 这 些 约束 。 然 后 画 出 对 应 于 规范 DBM 的 图 ， 其 中 权重 
反映 原始 图 的 最 短路 径 。 
练习 7.19* : 我 们 已 经 讨论 有 DBM 不 能 捕获 严格 不 等 式 ， 如 (zi 过 2)。 为 此 ,我 们 可 以 改变 设置 
Bounds， 除 了 符号 常量 ce 以外， 还 包含 形 如 (R，D0) 的 对 ,有 & 是 整数 和 2 是 布尔 值 。 现 在 
DBM 的 元 素 的 取 值 范围 是 这 个 新 类 型 的 范围 。 然 后 为 了 捕捉 约束 (zi 二 2),， 我 们 将 Ri 设置 
为 值 (2，0)， 为 了 捕获 约束 (xi 志 2)， 我 们 将 Rw 设置 为 值 (2，1)。 像 约束 加 严 和 规范 化 这 
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样 的 概念 继续 成 立 如 果 我 们 将 比较 、 求 最 小 值 和 加 法 的 运算 扩展 到 这 个 新 的 边界 集合 。 准 
确 地 定义 这 些 运算 。 在 两 个 时 钟 上 ， 考 虑 约束 (3 二 xz 二 6) 和 (1 和 zi 一 zz 过 4) 和 (zs 宇 0)。 说 
明 对 应 于 这 些 约束 的 DBM。 这 个 DBM 的 规范 吗 ? 如 果 不 是 规范 的 ， 求 其 等 价 的 规范 形式 。 


参考 文献 说 明 


自 20 世纪 80 年 代 以 来 ， 已 经 有 许多 建议 将 时 间 约 束 合并 到 反应 式 计算 的 形式 化 模型 
中 (例如 ， 时 间 1/O 自动 机 作 就 是 一 个 成 熟 模型 的 例子 LKLSV10])。 本 书 提出 的 模型 就 是 
基于 时 间 自 动机 LAD94]j， 时 间 自 动机 一 直 被 广泛 研究 ， 并 形成 了 大 量 的 理论 成 果 和 实践 
应 用 。 R 

用 差分 边界 矩阵 的 数据 结构 来 分 析 时 间 约 束 的 思想 在 [Dil89] 中 进行 了 介绍 ， 时 间 模 
型 状态 空间 的 有 限 划 分 区 域 的 概念 在 LAD94] 中 介绍 。 实 现 这 些 分 析 技 术 的 模型 检查 器 包 
括 KronosL HNSY94]、Red[ Wan04] 和 Uppaal[ LPY97]， 目 前 这 些 工 具 可 支持 不 同形 式 的 
实时 系统 分 析 ， 并 已 在 工业 案例 研究 中 应 用 ( 见 www. uppaal. org 和 [BDL 二 11])。 

图 7-9 所 示 的 互 斥 算法 源 于 Fisher( 见 [Lam87] 和 [Lyn96]， 为 解决 依赖 于 时 间 延 迟 的 
分 布 式 协 调 问 题 )。 在 7. 2. 2 节 中 ， 音 频 控制 协议 的 形式 化 建 模 和 分 析 基 于 [HW95]( 参 见 
文献 LBGK 十 96]， 利 用 Uppaal 的 协议 自动 分 析 ) 的 思想 。 在 文献 sqrl. memaster. ca/pace- 
maker. html( 参 见 [LSC 十 12]， 医 学 信息 物理 系统 的 形式 化 建 模 和 分 析 的 综述 中 ， 描 述 了 
将 形式 方法 应 用 于 起 搏 器 的 设计 和 验证 的 挑战 。 在 7.2.3 节 中 起 捕 器 的 设计 基于 文献 
[JPAM14]. 
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在 前 面 章节 中 ， RMI TPR TKI RMARARM RIAD. RE, R 
AVE A BEE LAR A SRR GEA HK ET TE 7 SE hs h ASSETA. A 2-30 所 
示 ， 考 察 事 件 触发 的 构件 Measurespeed， 为 了 实现 该 构件 ， 无 论 何 时 检测 输入 事件 Second 
或 Rotate， 都 需要 执行 这 个 任务 的 更 新 代码 。 当 定义 同步 模型 的 执行 语义 时 ， 我 们 假设 任 
务 立 刻 执 行 。 然 而 ， 这 样 的 假设 是 否 合理 取决 于 很 多 问题 的 解答 : 处 理 器 需要 花费 多 长 时 
间 执 行 这 个 任务 的 代码 ? 任务 MeasureSpeed 有 自己 的 专用 处 理 器 ， 还 是 与 多 个 任务 共 
享 一 个 处 理 器 ?任务 MeasureSpeed 是 否 独 立 于 其 他 任务 ， 还 是 它 必须 等 到 某 个 其 他 任 
务 执行 完 后 才能 执行 ? 实时 调度 理论 主要 研究 不 同 计算 任务 对 处 理 器 时 间 的 形式 化 需求 和 
为 满足 这 些 需 求 分 配 处 理 时 间 的 通用 策略 。 这 个 主题 对 安全 做 关 的 租 入 式 系 统 以 及 信号 处 
理 和 多 媒体 系统 等 已 经 有 了 丰富 的 应 用 历史 。 在 本 章 中 ,我们 首先 介绍 处 理 时 间 需 求 最 常 
见 的 模式 ， 然 后 研究 两 种 经 典 的 且 广 泛 应 用 的 实时 调度 算法 。 


8.1 调度 概念 


调度 决策 的 目的 是 分 配 处 理 时 间 ， 计 算 的 基本 单元 称 为 作业 。 作 业 的 例子 包括 ， 图 2- 
30 中 的 对 应 于 构件 MeasureSpeed 的 任务 的 执行 ， 以 及 对 应 于 图 7-13 中 的 时 间 音 频 控 制 
协议 中 的 发 送 器 进程 的 模式 切换 的 代码 执行 。 在 多 媒体 应 用 中 ， 如 传人 视频 流 的 处 理 ， 一 
个 作业 可 以 对 应 于 一 个 MPEG 文件 中 视频 帧 的 解码 ， 而 在 实时 控制 应 用 中 ， 如 航空 电子 
设备 ， 一 个 作业 对 应 于 将 传感器 的 模拟 信号 转换 为 对 控制 软件 有 意义 的 离散 值 。 


8.1.1 调度 器 架构 


图 8-1 显示 了 调度 器 与 不 同 作业 之 间 的 典型 交互 模式 。 每 个 作业 丁 是 一 个 独立 的 进 
程 ， 它 通过 事件 与 负责 处 理 时 间 分 配 的 调度 器 进行 通信 。 该 图 还 阐述 了 如 何 用 状态 机 刻画 
作业 状态 改变 的 抽象 视图 。 

最 初 ， 作 业 本 处 于 模式 Idle。 当 作业 需要 处 理 时 间 时 ， 它 使 用 事件 arrivej 与 调度 器 
进行 通信 ， 并 把 它 的 状态 变 为 Wait。 当 调度 器 决定 将 处 理 器 分 配给 作业 J 时 ， 调 度 器 使 
用 事件 runy 通 知 该 作业 ， 并 把 作业 了 的 模式 变 为 Running。 当 作业 了 的 当前 实例 完成 它 
的 执行 时 ， 它 使 用 事件 done, 与 调度 器 通信 ， 并 返回 到 模式 Tdle。 同 一 个 作业 的 后 续 实 例 
又 可 以 使 用 事件 arrivey 来 继续 请 求 处 理 时 间 。 

当 作 业 J 正在 运行 时 ， 在 该 作业 的 计算 完成 前 调度 器 可 以 决定 抢占 它 ， 并 把 处 理 器 分 
配给 另 一 个 作业 J. FF preempty 将 作业 J 本 的 模式 从 Running MRA wait, HH, Eb 
J 继续 等 待 直到 调度 器 发 出 另 一 个 事件 runy 。 

调度 器 有 两 个 需求 。 首 先 ， 在 任何 时 刻 处 理 器 只 能 分 配给 一 个 作业 ， 因 此 在 任意 时 
刻 ， 至 多 一 个 作业 处 于 模式 Running。 其 次 ， 作 业 的 每 个 实例 需要 “足够 ”的 计算 时 间 。 
为 了 对 这 个 需求 形式 化 描述 ， 我 们 需要 知道 每 个 作业 连续 实例 到 达 的 时 间 模 式 ， 每 个 作业 
实例 需要 多 少 计算 时 间 ， 以 及 每 个 作业 实例 何 时 完成 它 的 执行 。 
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图 8-1 调度 器 与 作业 之 间 的 交互 


第 7 章 研 究 的 时 间 进 程 模型 对 形式 化 作业 的 到 达 模 式 和 使 用 需求 、 作 业 与 调度 器 的 交 
互 以 及 调度 器 的 判定 逻辑 提供 了 足够 的 形式 化 方法 。 然 而 ， 在 典型 的 实现 中 ， 调 度 器 是 操 
作 系 统 必 不 可 少 的 一 部 分 ， 并 严格 控制 作业 的 执行 。 而 且 ， 调 度 器 用 来 执行 判定 逻辑 的 时 
间 比 作业 执行 的 时 间 小 得 多 。 因 此 ， 我 们 假设 处 理 时 间 分 为 离散 的 时 间 片 。 调 度 器 与 所 有 
作业 之 间 的 所 有 交互 都 在 每 一 个 时 间 片 的 开始 立即 发 生 。 每 个 作业 所 需 的 处 理 时 间 是 以 时 
闻 片 为 单位 进行 刻画 的 (例如 ， 说 明 作业 的 连续 实例 的 到 达 之 间 的 时 间 片 数 的 界限 )， 调 度 
器 的 分 配 策略 是 通过 给 作业 分 配 时 间 片 来 说 明 的 。 这 样 的 分 配 模 式 称 为 时 间 和 触发 分 配 ， 它 
是 同步 和 时 间 计 算 模 型 的 一 个 例子 。 在 这 个 模式 中 ， 不管 每 一 个 时 间 片 的 长 度 如 何 选择 ， 
例如 ， 秒 或 者 毫秒 ， 对 设计 资源 分 配 策略 没有 影响 ， 只 要 所 有 作业 的 所 有 参数 都 使 用 这 个 
作为 基本 时 间 单 位 。 


8. 1.2 周期 作业 模型 


作业 模型 描述 了 作业 的 到 达 模 式 和 使 用 需求 。 最 普通 的 作业 模型 是 周期 作业 模型 ， 它 
使 用 3 个 参数 (周期 、 截 止 期 和 最 坏 执行 时 间 ) 描 述 处 理 时 间 。 

周期 

在 周期 作业 模型 中 ， 每 个 作业 J 都 有 一 个 关联 的 周期 x(J)，r(JD) 是 一 个 正 数 。 它 表 
示 作 业 了 在 每 x(JD) 个 时 间 单 位 周期 地 执行 ， 也 就 是 说 ， 从 时 间 0 开始 每 x(]) 个 时 间 单 位 
都 发 出 一 个 事件 arrive 。 由 于 周期 作业 本 重复 执行 ， 所 以 我 们 使 用 表示 作业 J 的 第 a 
个 实例 ，a 为 正 整数 。 作 业 J 的 第 a 个 实例 准备 在 时 间 (a 一 1) Xx(]) 执 行 ， 这 个 时 间 称 为 
第 a 个 实例 的 到 达 时 间 ， 用 a(J ，a) 表 示 。 

截止 期 

每 个 作业 J 都 有 一 个 关联 的 截止 期 8(J)， 它 是 一 个 正 数 ， 表 示 作 业 本 的 每 个 实例 必 
须 在 到 达 的 时 间 8(JD) 个 时 间 单 位 内 完成 它 的 执行 。 也 就 是 说 ， 事 件 arrive, 和 事件 done; 的 
发 生 之 间 延 迟 应 该 不 超过 8$(JD) 个 时 间 单 位 。 要 求 相 对 截止 期 不 能 超过 周期 : 条 件 OCS 
fr(J) 应 该 成 立 。 由 于 作业 了 的 第 a 个 实例 的 到 达 时 间 是 (a 一 1) Xx(J)， 所 以 这 个 实例 应 
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该 在 截止 期 (a 一 1) Xx(]) 十 6(7) 之 前 完成 执行 ,我们 使 用 SJ, DRR J 的 第 a 个 实 
例 的 绝对 截 目 期。 例如， 如 果 一 个 作业 的 周期 为 5， 截 止 期 为 4， 那 么 它 的 第 三 个 实例 的 
到 达 时 间 是 10， 这 个 实例 的 截止 期 是 14。 

当 截 止 期 等 于 周期 时 ， 它 表示 作业 的 每 个 实例 必须 在 下 一 个 实例 到 来 前 完成 执 
行 。 这 样 的 截止 期 称 为 隐 式 截止 期 。 昌 然 隐 式 截 止 期 很 常见 ， 但 允许 截止 期 严格 小 于 
周期 需要 更 严格 的 时 间 需 求 规约 ， 因 为 满足 这 样 的 显 式 截止 期 就 意味 着 需要 提高 响应 
时 间 。 

最 坏 执行 时 间 

周期 描述 任务 执行 的 频率 ， 截 止 期 描述 每 个 作业 实例 必须 完成 执行 的 时 间 ， 而 (最 
坏 ) 执 行 时 间作 业 的 一 个 实例 的 执行 时 间 。 每 个 作业 卫 有 一 个 关联 的 最 坏 执行 时 间 
(WCET)， 记 为 7.JD， 它 是 一 个 正 整 数 ， 使 得 作业 实例 的 执行 最 多 花费 7CJ) 个 时 间 单 
位 。 换 句 话 说 ， 如 果 作 业 本 到达 后 在 模式 Running EER nC JPA LL. MBAR 
证 本 发 出 事件 done, HEM, ADELA ER EF A EMA ER. SC A H 
行 时 间 可 以 变化 ， 但 如 果 调 度 器 在 截止 期 之 前 为 作业 实例 分 配 了 7(JD 个 时 间 单 位 ， 那 
么 这 个 分 配 策略 是 安全 的 。 由 于 6( 了 表示 作业 实例 完成 执行 的 截止 期 所 以 如 果 
WCET (DMT 6(J)， 那 么 很 清楚 不 能 满足 截止 期 。 后 面 ; 我 们 假设 条 件 I< 
CJ) <r J) MT. 

这 3 个 参数 WD. ODM eC) FIR T EA J 本 的 时 间 需 求 。 对 于 每 个 正 整 数 a， 应 该 
允许 作业 J 丁 执行 总 共 w( 站 ) 个 时 间 单 位 ， 该 时 间 单 位 在 实例 T° AY BS aJ, a) = Ca 
1) * r(J) 与 这 个 实例 的 截止 期 6(])= 二 (a 一 1) x x(]) 十 86( 站 之 间 。 例 如 ， 如 果 作 业 的 周期 
为 5， 截 止 期 为 4，WCET 为 3， 那么 它 应 该 在 时 间 O~4 之 间 需 要 分 配 3 个 时 间 单 位 ， 时 
fa] 5 一 9 之 间 分 配 3 个 时 间 单 位 ， 时 间 10 一 14 之 间 分 配 3 个 时 间 单 位 。 

WCET 的 估计 

作业 的 周期 和 截止 期 依据 系统 的 设计 时 间 需 求 来 确定 。 但 是 ，WCET 与 软件 实现 和 
执行 平台 相关 ， 我 们 喜欢 工具 分 析 通 过 分 析 代 码 来 自动 得 出 WCET 的 界限 。 得 出 WCET 
界限 是 一 个 活 牙 的 研究 领域 ， 有 很 多 不 同 的 方法 。 让 我 们 回顾 最 基本 的 方法 : 代码 静态 分 
析 。 该 方法 在 不 执行 代码 的 情况 下 ， 通 过 分 析 代 码 的 语法 结构 来 估算 。 

我 们 假设 作业 代码 没有 循环 ， 只 包括 原子 赋值 语句 、 条 件 语 句 和 语句 序列 。 实 际 上 ， 
这 种 假设 在 前 面 章节 的 任务 的 更 新 代码 中 已 经 使 用 过 。 假 设 我 们 知道 如 何 把 执行 时 间 
stm SÉU x =e 的 原子 语句 stmt 和 评估 布尔 表达 式 e 的 执行 时 间 7(e) 关 联 起 来 。 那 
么 下 面 两 条 规则 可 以 用 来 将 WCTE 与 一 段 代码 关联 起 来 : 

D 顺序 语句 : 如 果 一 条 语句 sm 是 一 个 包含 ! REAREA] Ctm, stmt, +, stmt), 
那么 stmt 的 执行 时 间 是 所 有 这 些 语句 执行 时 间 之 和 : 

n(stmt) = nstmti)T ystmts ) + +++ ystmt,) 

2) 条 件 语 句 : 如 果 语 句 stmt 是 一 个 条 件 语句 (if e then stmt; else stmt.), ABA st- 
mt 的 执行 时 间 是 估算 检测 条 件 e 和 语句 stmt, 和 stmts 的 最 大 执行 时 间 之 和 。 

nstmt)=n(e) Tmax{(n(stmti), ystmts ) } 

为 了 理解 条 件 语句 的 规则 ， 我们 观察 条 件 语句 的 执行 。 首 先 估 计 检 测 条 件 e， 然 后 根 
据 检测 的 结果 ， 选 择 语句 stmt, 和 stmt; 中 的 一 条 语句 执行 。 由 于 我 们 想 要 静态 地 估计 执行 
时 间 的 上 界 ， 所 以 我 们 简单 地 选取 stmt 和 stmt 执行 时 间 的 最 大 值 。 例 如 ， 考 虑 下 面 
代码 : 
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t= DEG 

if(z>y)then y :=z else{y *=0; z*=2+1}. 
假设 每 条 赋值 语句 的 执行 时 间 是 c, ， 估 计 条 件 (z 二 zx) 的 执行 时 间 是 c， 那 么 圭 面 代码 的 执 
行 时 间 可 以 估计 为 3c 十 cz 。 l 

这 样 ， 直 线 编 码 的 WCET 界限 可 以 从 赋值 语句 的 执行 时 间 和 估计 布尔 表达 式 的 执行 
时 间 获 得 。 我 们 假设 赋值 语句 x :=y 十 1。 执 行 这 样 一 条 指令 所 需 的 时 间 依 赖 于 底层 架构 
的 细节 和 存储 器 的 组 织 。 如 果 变 量 z 和 y 存储 在 寄存 器 中 ， 那 么 这 条 赋值 语句 只 对 应 一 条 
机 器 指令 ， 它 在 一 个 时 钟 周期 内 执行 。 相 反 ， 如 果 变 量 过 和 >y 存储 在 主 存 中 ,那么 执行 这 
条 赋值 语句 需要 从 主 存 中 获取 y 的 值 ， 递 增 寄 存 器 ， 然 后 将 它 存储 回 内 存 中 。 当 一 条 赋值 
语句 包含 这 样 的 存储 器 操作 时 ， 它 的 执行 时 间 的 变化 范围 会 很 大 ， 这 取决 于 每 个 相关 内 存 
地 址 是 驻 留 在 本 地 高 速 缓 存 (cache) 中 ， 还 是 在 主 存 中 。 如 果 我 们 假设 每 次 读 / 写 操作 都 导 
致 高 速 缓存 缺失 ， 进 而 需要 访问 主 存 ， 那 么 由 此 产生 的 上 界 可 能 对 有 意义 的 分 析 太 悲观 
了 。 特 别 地 ， 对 于 上 面 的 代码 ， 多 次 访问 变量 xz 和 y， 只 有 第 一 次 这 样 的 访问 可 能 产生 高 
速 缓 存 缺 失 。 这 个 例子 说 明 ， 估计 执行 时 间 的 上 界 1) 不 是 太 翡 观 ; 2) 反映 了 底层 架构 的 
复杂 性 ; 3) 保证 在 所 有 情况 下 实际 执行 时 间 都 有 上 和 界 ; 4) 通过 代码 的 静态 分 析 计 算 
WCET 是 一 个 挑战 。 

周期 作业 模型 

一 个 周期 作业 模型 包含 一 个 周期 作业 的 集合 ， 其 中 每 个 作业 都 是 用 周期 、 截 止 期 和 一 
个 最 坏 执行 时 间 来 说 明 的 。 周 期 作业 模型 可 以 定义 如 下 。 


周期 作业 模型 

一 个 周期 作业 模型 由 一 个 作业 的 有 限 集合 7， 其 中 每 个 作业 J 都 有 一 个 相关 联 的 
AMJ), REW 3( 中 和 最 坏 执行 时 间 wn(J)， 且 每 个 都 是 正 整数 ， 使 得 条 件 QD < 
(J) <r(J) MX. 


例如 ， 考虑 一 个 作业 模型 ， 它 包 含 两 个 周期 作业 Jı Jo: 作业 万 的 周期 为 5、 截止 
期 为 4、WCET 为 3; 作业 J 的 周期 为 3、 截 止 期 为 3、WCET 为 1。 调度 问题 就 是 为 这 两 
作业 1 和 J; 分 配 计算 时 间 ， 使 得 : 对 于 每 一 个 a 宇 0， 作 业 万 在 时 间 Sa 和 54 十 4 之 间 获 
得 3 个 时 间 单 位 ， 作 业 有 在 时 间 30 和 3a 十 3 之 间 获 得 1 个 时 间 单 位 。 
练习 8. 1: 考虑 代码 
xi=yt+l; 














if(a>z)then{if y>l then y *=z}else{y 0; z*=z+1} 
假设 每 个 原子 赋值 语句 需要 ci 个 时 间 单 位 ， 用 于 条 件 测试 的 每 个 布尔 表达 式 的 估计 和 需要 ci 个 
时 间 单 位 ， 请 估计 以 上 代码 的 WCET. 


8.1.3 可 调度 性 


调度 负责 为 作业 分 配 处 理 时 间 ， 调 度 问 题 是 找到 一 种 满足 所 有 作业 的 截止 期 的 调度 
策略 。 


调度 及 可 行 性 
如 前 所 述 ， 调 度 器 以 离散 时 间 片 分 配 处 理 时 间 。 周 期 作业 模型 7 中 一 个 调度 o 说 明 对 
于 每 个 时 间 t(t 二 0，1，2，…)， 分 配给 作业 J(JEJ) 从 时 间 z 开 始 的 时 间 片 。 当 然 也 存 


在 这 样 的 情况 : 某 个 特殊 的 时 间 片 上 没有 作业 可 人 分配， 我 们 使 用 符号 | 表示 这 种 可 能 性 。 
ERE, 调度 oc 是 由 自然 数 集合 nat 到 集合 7U {| } 的 函数 ; o=] RRK e 开始 
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BY Bf [a] oP EA VE JT. o (0) = _ Bea EA a] zt 开始 的 时 间 片 上 没有 分 配给 集合 7 中 的 任何 
作业 。 当 al?) 二 | 时， 处 理 器 在 这 个 时 间 片 中 处 于 空闲 状态 ,或 者 处 理 器 进行 与 该 作业 模 
型 无 关 的 其 他 计算 。 

在 这 个 调度 框架 中 ， 对 应 于 周期 作业 J 的 3 个 参数 7(J)、6(J) 和 天 (JD) 说 明 需 求 : 对 
于 每 个 实例 5， 应 该 给 作业 J AM aJ, a SIRT 6(J ，a) 的 间隔 中 的 x 站 个 时 间 
片 。 如 果 作 业 J 的 一 个 调度 a 确实 为 该 作业 的 每 个 实例 分 配 了 必要 数量 的 时 间 片 ， 那 么 对 
于 该 作业 了 该 调度 是 截止 期 满足 的 。 如 果 一 个 调度 对 于 周期 作业 模型 中 的 每 个 作业 都 是 
截止 期 满足 的 ， 则 该 调度 是 截止 期 满足 的 。 

我 们 考虑 包括 两 个 周期 作业 J 和 J; 的 作业 模型 : 作业 万 的 周期 为 5， 截止 期 为 4， 
WCET 为 3; 作业 J 周期 为 3， 截 止 期 为 3，WCET 为 1。 假 设 前 15 个 时 间 片 的 调度 分 配 
模式 如 图 8-2 所 示 。 对 于 每 个 作业 ， 垂 直线 表示 当 作 业 的 连续 实例 准备 执行 的 时 间 ， 虚 垂 
直线 表示 对 应 的 截止 期 (对 于 作业 J;， 截 止 期 与 周期 一 致 ， 因 此 ， 这 些 虚线 不 可 见 )。 当 一 
个 时 间 片 分 配给 一 个 作业 时 ， 对 应 于 该 作业 的 行 用 填充 的 矩形 表示 。 这 样 ， 在 图 8-2 的 调 
度 中 ， 前 两 个 时 间 片 分 配给 第 一 个 作业 ， 第 三 个 时 间 片 分 配给 第 二 个 作业 ， 第 15 个 时 间 
片 没 有 分 配给 任何 一 个 作业 。 每 15 个 时 间 片 重复 此 模式 。 形 式 上 ， 调 度 c 可 以 用 下 式 
表示 : 

o(0) = o(1) = o(3) = o(5) = 0 (7) 一 ac(8) = 0(10) = 6 AL) = 6012) = Jı; 
o(2) = 64) = o (6) = o 9) = 6 (13) = Ja; 
014) =]; 

MEH tS 0,00 +15) = ot) 
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图 8-2 具有 两 个 作业 的 作业 模型 调度 


调度 可 以 抽象 为 把 时 间 片 赋值 给 作业 ， 自 然 地 可 以 用 图 8-1 的 调度 器 架构 来 实现 。 例 
如 ， 为 了 实现 图 8-2 中 的 调度 ,调度 器 给 作业 万 发 送 下 列 事 件 : 时 刻 0rum 、 时 刻 
2preempt,, ATH 3runi 、 时 刻 Srun,, HHA) 6preempti 、 时 刻 7run,, WA 10runi 。 

图 8-2 中 的 说 明 应 该 使 你 确信 调度 对 两 个 作业 都 是 截止 期 满足 的 : 作业 万 的 每 个 实例 
在 它 的 到 达 时 间 的 4 个 时 间 单 位 内 分 配 了 3 个 时 间 片 ， 作 业 J 的 每 个 实例 在 它 下 一 个 实例 
到 达 之 前 分 配 了 1 个 时 间 片 。 

对 于 周期 作业 模型 7， 如 果 存 在 一 个 截止 期 满足 的 调度 ,那么 该 作业 模型 称 为 可 调度 
的 。 这 样 ， 由 下 列 作 业 万 和 J; 组 成 的 作业 模型 是 可 调度 的 ， 作 业 厂 的 周期 为 5、 截 止 期 
为 4 和 WCET 为 3， 作业 ;的 周期 为 3、 截 止 期 为 3 和 WCET 为 1。 现 在 ， 我 们 假设 将 作 
业 Jif) WCET 改 为 4， 那 么 作业 模型 就 是 不 可 调度 的 ， 在 前 10 个 时 间 片 内 ， 至 少 作业 J, 
的 前 两 个 实例 的 截止 期 必须 满足 ， 这 样 就 必须 至 少 给 作业 万分 配 8 个 时 间 片 ; 与 此 同时 ， 
至 少 作 业 本 的 前 3 个 实例 的 截止 期 必须 满足 ， 也 就 意味 着 必须 给 它 至 少 3 个 时 间 片 ， 而 这 
是 不 可 能 的 。 

下 面 给 出 具体 的 定义 。 方 便 起 见 ， 使 用 o 表示 调度 ，jJ 表示 作业 , tf t RANTS 
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W, EIF ti <t, RHEA olhs tz, J) Ban Wa BE o EHE t A t Z lal AE J AA K a E 
片 数 ， 即 ， 

o(t; 5t2,J) | {elt <t<t E a(t) = J} 
周期 作业 模型 的 可 调度 性 


周期 作业 模型 ,7 的 调度 o 是 一 个 从 自然 数 上 三 0 映射 到 集合 7U {|} 的 函数 。 如 果 每 
个 实例 a 三 1，o(a(J，a)，6(J，a)， J 了) 二 XJ)， 那 么 调度 是 截止 期 满足 的 对 于 任务 J 
EI。 如 果 对 于 作业 模型 7 中 的 每 个 作业 都 调度 o 是 截止 期 满足 的 ， 则 对 于 作业 模型 7 
调度 o 是 截止 期 满足 的 。 如 果 对 于 作业 模型 7 存在 作 一 个 截止 期 满足 的 调度 co， 那么 该 
作业 模型 7 是 可 调度 的 。 


周期 调度 

周期 调度 以 重复 方式 给 作业 分 配 时 间 片 。 形 式 上 ， 如 果 对 于 所 有 时 间 实 例 上 过 0，c(t 十 
pP=clty, MAME o 是 一 个 周期 为 p 的 周期 调度 ， 其 中 户 是 一 个 正 数 。 图 8-2 中 的 调度 
就 是 一 个 周期 为 15 的 周期 调度 。 对 于 前 个 时 间 片 一 个 周期 调度 a 可 以 通过 列 出 它 的 周 
期 p 时 间 片 和 分 配给 作业 的 时 间 片 aC0)，ao(1)，…，a(p 一 1) 来 说 明 。 

如 果 想 检查 一 个 周期 作业 模型 是 不 是 可 调度 的 ， 我们 可 以 只 搜索 该 模型 的 周期 调度 ， 
这 建立 在 下 面 的 定理 上 。 该 定理 的 证 明 表 明 ， 给 定 一 个 周期 作业 模型 ， 只 需 考 虑 周期 等 于 
该 模型 中 所 有 作业 周期 的 最 小 公 倍数 的 周期 调度 。 

定理 8. 1( 周 期 调度 ) 一 个 周期 作业 模型 7 是 可 调度 的 当 且 仅 当 存 在 一 个 对 于 了 是 截止 
期 满足 的 周期 调度 。 

证 明 : 考虑 一 个 周期 作业 模型 7 了， 如 果 存 在 一 个 周期 调度 使 得 7 中 的 所 有 作业 都 是 截 
止 期 满足 的 ， 那么 由 此 定义 作业 模型 7 了 是 可 调度 的 。 相 反 ， 假 设 作业 模型 7 是 可 调度 的 。 
那么 根据 定义 存在 一 个 截止 期 满足 的 调度 rc。 调度 os 不 需要 是 周期 的 ， 我们 的 目标 是 构建 
一 个 满足 所 有 作业 的 截止 期 的 周期 调度 o'o 

用 尹 表 示 所 有 作业 的 周期 的 最 小 公 倍 数 ， 也 就 是 说 ， 所 有 数 都 在 集合 {r(J)|JEX27) 
中 。 定 义 期 望 的 调度 o 如 下 : 对 于 O<t<p, o =t), HFEA t20, d (t+ p)= 
o). T, WE a 是 周期 的 ， 且 其 周期 为 p。 考 虑 一 个 作业 JE 了 7 了。 令 n= 二 p/x(J)( 注 
意 ,， 根据 p 的 选择 ，p 除 以 x(])。 由 于 调度 a 与 调度 c 是 一 样 的 对 于 前 p 个 时 间 片 ， 并 
HWE o 对 于 作业 了 是 截止 期 符合 的 ， 所 以 调度 o 也 满足 作业 J 的 前 2 个 时 间 片 的 截止 
期 。 由 于 调度 oa 是 周期 的 ， 所 以 对 于 每 一 个 a 宇 1, olalJ, a), (J, a), J)=clalJ, 
a 十 n)，6(J] ，a 十 n)，J)， 因 此 如 果 它 满足 实例 J 的 截止 期 ， 那 么 它 也 满足 实例 Io HR 
止 期 。 这 说 明 调 度 o 对 于 任务 模型 是 截止 期 满足 的 。 

利用 率 

考虑 一 个 包含 两 个 作业 的 周期 作业 模型 : 作业 万 的 周期 为 5、 截 止 期 为 4 和 WCET 
为 3; 作业 J 的 周期 为 3、 截 止 期 为 3 和 WCET 为 1。 由 于 作业 JERS 个 时 间 片 中 需要 
' 3 个 时 间 片 ， 所 以 它 需 要 3/5 的 可 用 处 理 时 间 。 同 样 ， 由 于 作业 J 在 每 3 个 时 间 片 内 需要 
1 个 时 间 片 ， 所 以 它 需 要 1/3 的 可 用 处 理 时 间 。3/5 十 1/3 二 14/15， 该 值 被 称 为 作业 模型 的 
利用 率 。 形 式 上 ， 周 期 作业 模型 7 的 利用 率 可 以 定义 为 : 


UCI) = dy nD) /rT) 


JET 
利用 率 表示 满足 所 有 作业 的 要 求 所 必需 的 可 用 处 理 时 间 的 一 部 分 。 注 意 ， 在 我 们 的 例 
子 中 ,作业 模型 的 图 8-2 中 的 周期 调度 表明 将 14/15 的 时 间 片 分 配给 两 个 作业 ， 剩 下 一 个 
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时 间 片 没有 分 配 。 

如 果 一 个 作业 模型 的 利用 率 超过 1， 那 么 它 说 明 所 有 作业 一 起 需要 比 可 用 时 间 更 多 的 
处 理 时 间 。 在 这 种 情况 下 ， 作 业 模 型 是 不 可 调度 的 。 在 我 们 的 作业 模型 例子 中 ， 如 果 我 们 
将 作业 JAS WCET 改 为 4， 那 么 利用 率 也 就 变 为 4/5 十 1/3 之 1， 也 就 意味 着 这 将 导致 作业 
模型 不 可 调度 。 由 于 作业 模型 的 利用 率 很 容易 计算 ， 所 以 检查 利用 率 是 否 大 于 1 来 快速 检 
测 作业 模型 的 不 可 调度 性 。 

抢占 式 调度 与 非 抢 占 式 调度 

以 图 8-2 的 调度 为 例 。 作 业 厂 的 一 个 实例 需要 前 4 个 时 间 片 中 的 3 个 时 间 片 ， 它 们 
分 别 时 间 0、1、3 选择 。 当 这 个 满足 这 个 实例 的 截止 期 时 ， 在 时 间 2， 作 业 三 的 执行 必 
须 被 中 断 ( 使 用 事件 preempt, ) 以便 让 作业 J 在 下 一 个 时 间 片 内 执行 ， 在 其 后 的 时 间 片 中 
恢复 执行 。 图 8-2 中 的 调度 由 于 它 使 用 这 样 抢占 而 称 为 抢占 式 调度 。 调 度 不 包括 这 样 抢 
占 的 调度 称 为 非 抢占 式 调度 。 换 言 之 ， 非 抢占 式 调 度 为 作业 本 的 每 个 实例 都 分 配 大 块 连 
续 的 时 间 片 XJ)。 形 式 上 ， 作 业 集 合 7 上 的 一 个 调度 o 是 抢占 式 的 ; 如果 存 在 一 个 任务 
J 和 时 间 刀 过 ts 过 ts ， 使 得 1) olt) =l) =J Hot) AJ; 2) 存在 一 个 实例 a， 使 得 a 
J, <n A 如 二 a(J，a 十 1)。 这 说 明 ， 存 在 3 个 时 间 片 ， 在 某 时 间 段 内 ， 只 有 一 个 作 
业 J 的 实例 是 活动 的 ， 使 得 给 该 作业 三 分配 了 时 间 有 段 两 头 的 时 间 片 ， 但 没有 被 分 配 中 间 
的 时 间 片 。 

由 于 作业 的 抢占 需要 将 处 理 上 下 文 从 一 个 作业 切换 到 另 一 个 作业 ， 实 现 它 需要 成 本 ， 
应 该 尽 可 能 避免 。 例 如 ， 作 业 模 型 包含 作业 奢 ， 其 周期 为 5、 截 止 期 为 4 和 WCET 为 3; 
作业 J; 的 周期 为 3、 截 止 期 为 3 和 WCET 为 1。 图 8-3 给 出 了 另 一 种 非 抢占 式 周期 调度 ， 
它 也 是 截止 期 满足 的 。 


ETT 2” 5 OLS FARK DEC ts AR T 
图 8-3 具有 两 个 作业 的 作业 模型 的 非 抢占 式 调度 


可 能 满足 所 有 截止 期 的 唯一 方式 是 抢占 : 周期 作业 调度 可 以 是 可 调度 的 ， 但 可 能 没有 
截止 期 满足 的 非 抢占 式 调度 。 为 此 ,我 们 假设 作业 模型 包含 两 个 作业 : 作业 本 的 周期 为 
2、 截 止 期 为 1 和 WCET 为 1; 作业 J 的 周期 为 4、 截 止 期 为 4 和 WCET 为 2。 周期 抢占 
式 调度 的 周期 为 4， 在 时 间 0 和 时 间 2 选择 作业 Ji, CERT) 1 和 时 间 3 选择 作业 J ER 
止 期 满足 的 。 但 是 你 很 容易 发 现 不 可 能 找到 一 个 满足 所 有 截止 期 的 非 抢 占 式 调度 。 

调度 策略 

给 定 一 个 周期 作业 模型 7， 调 度 策略 的 目的 是 或 者 产生 一 个 截止 期 满足 的 周期 调度 ， 
或 者 报告 找 不 到 截止 期 满足 的 调度 。 我 们 将 在 8. 2 节 和 8. 3 节 详 细 讨 论 这 两 种 策略 ,我们 
在 理解 和 评估 调度 策略 时 ， 可 以 考虑 以 下 问题 : 

该 策略 什么 时 候 成 功 生 成 一 个 调度 ? 理想 状况 下 ， 当 作业 模型 是 可 调度 的 时 策略 应 该 
产生 一 个 截止 期 满足 的 周期 调度 。 如 果 不 是 这 种 情况 ,那么 我 们 应 该 寻找 保证 策略 成 功 的 
条 件 。 

策略 需要 多 少 计 算 工作 量 来 计算 调度 ? 众所周知 ， 如 果 作 业 模 型 是 可 调度 的 ， 那 么 存 


实时 调度 215 





在 一 个 周期 等 于 所 有 作业 周期 的 最 小 公 倍数 的 周期 截止 期 满足 的 调度 。 如 果 该 模型 及 个 
作业 ， 那 么 只 能 给 每 个 时 间 片 分 配 (n 十 1) 个 不 同 的 值 (由 于 调度 将 一 个 时 间 片 映射 为 一 个 
作业 或 映射 为 |)。 这 样 ， 有 p” “个 周期 为 p 的 不 同 周期 调度 。 一 个 朴素 的 调度 策略 分 析 
所 有 这 样 可 能 的 调度 ， 并 选择 一 个 满足 所 有 截止 期 的 调度 。 但 是 ， 这 种 策略 效率 太 低 ， 因 
为 它 的 计算 成 本 随 着 任务 数 和 周期 值 的 增长 而 快速 增长 。 要 求 调 度 策略 是 高 效 的 具有 模型 
中 作业 数 的 时 间 复 杂 度 多 项 式 。 
策略 的 判定 逻辑 有 多 少 是 离线 的 ， 有 多 少 是 在 线 的 ? 一 种 实现 周期 作业 模型 的 调度 策 
略 的 可 能 方法 是 计算 离线 的 期 望 调度 ， 也 就 是 在 系统 开始 执行 前 。 然 后 在 系统 执行 中 ， 即 
在 线 ， 调 度 器 只 需要 在 每 个 时 间 片 开始 时 简单 地 查询 调度 (或 者 当 处 理 器 需要 为 作业 分 配 
的 调度 做 决策 时 )。 另外， 有 些 调度 策略 只 能 以 离线 的 方式 给 作业 分 配 优先 级 ， 当 需要 在 
线 做 出 调度 决策 时 ， 通 过 比较 作业 的 优先 级 来 做 出 策略 。 后 一 种 策略 的 好 处 是 不 需要 计算 
和 存储 一 个 很 长 的 调度 ， 并 且 这 种 策略 可 以 扩展 应 用 到 更 复杂 作业 模型 ， 例 如 ， 在 系统 执 
行 时 可 动态 地 添加 和 删除 作业 的 作业 模型 。 但 是 ， 当 采用 在 线 策略 时 ， 至 关 重 要 的 是 在 线 
计算 开销 应 该 是 足够 的 一 一 不 能 超过 两 个 指令 的 开销 。 
策略 确保 另 一 个 最 优 准 则 吗 ? 我 们 定义 的 可 调度 性 要 求 调度 需要 满足 所 有 的 截止 期 。 

当 存 在 多 个 截止 期 满足 的 调度 时 ， 可 以 使 用 另 一 个 准则 可 用 来 确定 一 个 最 好 的 调度 。 例 
如 ， 我 们 想 要 调度 策略 计算 具有 最 小 抢占 次 数 的 调度 ( 尽 可 能 产生 一 个 非 抢占 式 调 度 ) 。 另 
一 个 这 样 的 准则 是 响应 时 间 : 一 个 作业 实例 的 响应 时 间 是 调度 这 个 实例 的 到 达 时 间 与 根据 
调度 实例 完成 执行 的 时 间 之 差 。 我 们 也 许 想 要 调度 策略 计算 最 小 化 所 有 作业 实例 的 平均 响 
应 时 间 的 调度 。 
练习 8. 2: 考虑 一 个 包含 两 个 作业 的 周期 作业 模型 ， 作业 J 的 周期 为 5、 截 止 期 为 5 和 WCET 为 2; 作业 

JJ 的 周期 为 7?、 截 止 期 为 7 和 WCET 为 4。 请 问 这 个 作业 模型 的 利用 率 是 多 少 ? 并 说 明 一 个 周 

期 截止 期 满足 的 调度 。 
练习 8. 3: 考虑 一 个 包含 两 个 作业 的 周期 作业 模型 : 作业 J 的 周期 为 3、 截 止 期 为 2 和 WCET 为 1; 作业 

几 的 周期 为 5、 截 止 期 为 5 和 WCET 为 3。 请 论述 该 作业 集合 是 可 调度 的 ， 仅 当 人 允许 抢占 。 寻 

找 一 种 最 小 抢占 数 的 截止 期 满足 的 调度 。 


8.1.4 其 他 的 作业 模型 


周期 作业 模型 是 对 实时 应 用 中 作业 处 理 器 时 间 命 令 进行 形式 化 的 最 简单 的 模型 。 在 参 
考 文献 说 明 中 给 出 的 很 多 研究 成 果 是 这 种 作业 模型 的 扩展 或 者 变种 。 这 里 我 们 简要 介绍 最 
具 代表 性 的 作业 模型 变种 。 

作业 间 的 优先 约束 

在 带 有 优先 约束 的 周期 作业 模型 中 ， 每 一 个 作业 除了 周期 、 截 止 期 和 WCET 外 ， 还 
定义 了 作业 间 的 优先 约束 。 两 个 作业 J A J: 之 间 的 优先 约束 J <I ARM FET SB a, 
作业 J 的 第 a 个 实例 只 有 在 作业 本 的 第 a 个 实例 执行 完成 后 才 开 始 执 行 。 要 求 当 两 个 作 
业 之 间 有 这 样 的 优先 约束 时 ， 它 们 应 该 有 相同 的 周期 ， 优 先 关系 应 该 是 非 循环 的 。 可 调度 
性 问题 寻找 不 仅 满足 所 有 任务 的 截止 期 ， 还 要 服从 优先 关系 表示 的 顺序 约束 的 调度 。 第 2 
章 中 基于 任务 图 的 同步 构件 描述 中 的 任务 之 间 的 优先 约束 自然 地 推导 出 带 优先 约束 的 作业 
模型 。 

动态 变化 作业 集 

在 基本 的 周期 作业 模型 中 ， 假 设 作业 集合 中 的 作业 的 优先 级 a 是 已 知 的 ， 并且 是 固定 
的 。 在 实际 中 ， 人 允许 动态 改变 作业 集合 ， 在 系统 执行 时 ， 人 允许 添加 或 者 移 除 作业 。 在 这 种 


350 


216 第 8 章 





情形 下 ， 一 旦 有 一 个 新 作业 添加 到 系统 中 ， 调 度 策略 需要 在 修改 后 的 集合 上 执行 可 调度 性 
测试 ， 只 有 在 可 调度 性 测试 成 功 后 ， 才 允许 新 作业 添加 到 系统 中 。 这 种 策略 也 需要 在 运行 
时 动态 地 制定 调度 策略 ， 因 为 该 调度 不 能 事先 通过 离线 计算 得 到 。 
非 周期 作业 
非 周期 作业 是 指 到 达 模 式 不 规律 并 且 事 先 不 知道 的 作业 。 例 如 ， 第 2 章 讨论 的 巡航 控 
制 设 计 ， 虽 然 对 应 于 测量 当前 速度 和 控制 速度 的 任务 (图 2-29 中 的 构件 MeasureSpeed 
和 ControlSpeed) 是 周期 执行 的 ， 但 负责 更 新 巡航 速度 的 任务 (构件 Setspeed) 是 需要 
在 驾驶 员 切 换 巡 航 控制 模式 或 者 决定 改变 巡航 速度 时 才 执 行 。 这 样 ， 非 周期 作业 也 有 截止 
WAI WCET, 但 没有 周期 ， 它 有 一 个 相关 联 的 触发 事件 。 当 作业 集合 有 周期 作业 和 非 周 期 
作业 时 ， 需 要 借助 纯 周期 作业 模型 的 调度 策略 的 设计 原理 和 分 析 方 法 来 制定 调度 策略 ， 并 
且 需 要 预 留 一 定 的 时 间 片 给 预期 的 但 不 可 预测 到 达 的 非 周 期 作业 。 然 而 ， 这 样 的 策略 不 能 
提供 有 保证 的 截止 期 满足 ， 我 们 只 希望 采用 一 种 “尽力 而 为 ”策略 ， 甚 中 这 种 策略 的 保证 
只 能 通过 将 它们 与 其 他 策略 的 保证 进行 比较 来 测量 。 
多 处 理 器 调度 
调度 的 一 种 定义 是 把 每 一 个 时 间 片 分 配给 至 多 一 个 作业 ， 这 对 应 于 假设 所 有 作业 都 运 
行 在 一 个 处 理 器 上 。 现 代 计 算 平 台 通常 包含 多 个 计算 核 ， 在 嵌入 式 应 用 中 ， 通 常 由 专用 处 
理 器 专门 执行 特定 的 任务 。 为 了 形式 化 多 处 理 器 上 的 作业 调度 问题 ， 除 了 每 个 作业 的 周 
W. REWA WCET 外 ,还 指定 处 理 器 集合 ， 并 且 对 于 每 个 处 理 器 ， 在 该 处 理 器 上 执行 
的 作业 子 集 。 多 处 理 器 调度 将 每 个 时 间 片 和 每 个 处 理 器 映射 到 一 个 作业 或 上 (上 表示 一 个 
空闲 的 时 间 片 )。 多 处 理 器 调度 问题 就 是 计算 截止 期 满足 的 多 处 理 器 调度 。 一 个 在 单 处理 
器 上 是 不 可 调度 的 作业 集 ， 可 能 在 多 处 理 器 上 变 为 可 调度 的 ， 因 为 额外 的 处 理 时 间 的 可 用 
性 。 然 而 ， 通 过 设计 一 个 高 效 的 调度 策略 来 计算 多 处 理 器 作业 中 的 截止 期 满足 的 调度 仍然 
还 有 很 多 挑战 ， 因 为 多 处 理 器 可 调度 性 问题 是 计算 难 的 (这 是 典型 的 NP 完全 ) 。 
软 实时 和 硬 实时 需求 
在 我 们 所 定义 的 调度 问题 中 ， 要 求 调度 满足 每 个 作业 的 所 有 实例 的 截止 期 。 虽 然 这 
样 严 格 的 截止 期 满足 是 安全 依 关 和 实时 控制 系统 中 必要 需求 ， 但 在 像 多 媒体 这 样 的 应 用 
中 ， 这 种 需求 往往 会 降低 。 例 如 ， 如 果 作 业 对 应 于 通过 显示 下 一 个 视频 帧 来 刷新 屏幕 ， 
那么 只 执行 该 作业 的 所 有 实例 的 95% 可 能 是 可 以 接受 的 。 在 参考 文献 中 ， 要 求 必须 满 
足 所 有 截止 期 的 系统 ， 因 为 错过 截止 期 就 意味 着 一 个 不 可 接受 的 安全 违反 ， 称 为 硬 实时 
系统 。 要 求 必 须 尽 可 能 频繁 地 满足 截止 期 的 系统 ， 但 错过 截止 期 仅仅 导致 期 望 的 质量 下 
降 ， 叫 作 软 实时 系统 。 软 实时 系统 的 调度 策略 的 目标 是 用 错过 的 截止 期 的 最 小 部 分 计算 
调度 。 
练习 8. 4 : 考虑 一 个 包含 二 个 作业 的 作业 集合 7， 存 在 一 个 优先 关系 <， 使 得 该 关系 是 非 循环 的 。 假 如 
了 中 的 每 个 作业 都 有 周期 p、 截 止 期 d 和 WCET c。 假设 有 nn 个 处 理 器 可 以 用 来 调度 ， 每 个 
作业 可 以 在 任意 的 处 理 器 上 执行 。 如 果 能 够 找到 一 个 满足 优先 约束 的 多 处 理 器 调度 (也 就 是 
W, WRJ <J: 那么 在 每 一 个 周期 内 作业 J, 应 该 在 作业 J. 开始 执行 前 完成 执行 ， 但 是 ， 
如 果 它 们 们 分 别 在 不 同 的 处 理 器 上 执行 ， 则 不 受 此 优先 约束 的 限制 )， 就 称 该 作业 集 是 可 调 
度 的 。 请 问 在 什么 条 件 下 该 作业 集 是 可 调度 的 ? 提示 : 条 件 应 该 与 周期 p、WECT c 和 从 优 
先 约 东 关系 过 推导 出 来 的 某 个 量 相关 。 


8.2 EDF 调度 
最 早 截止 期 优先 (Earliest Deadline First，EDPF) 策 略 是 一 种 经 典 的 调度 策略 ， 该 算法 
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总 是 选择 最 早 到 达 截 止 期 的 作业 。 这 个 调度 策略 适用 多 种 作业 模型 ， 在 实际 中 运用 广泛 。 
我 们 首先 描述 周期 作业 模型 的 EDF 策略 ， 然 后 分 析 它 的 性 能 。 


8.2.1 周期 作业 模型 的 EDF 


给 定 一 个 周期 作业 的 集合 ， 在 每 个 时 间 :，EDF 调度 策略 把 下 一 个 时 间 片 分 配给 具有 
最 时 (或 最 小 ) 截 止 期 的 作业 。 在 周期 作业 模型 中 ， 对 于 每 一 个 作业 ， 作 业 的 不 同 实例 在 不 
同 的 时 间 被 激活 ， 这 样 作业 的 截止 期 的 具体 值 取决 于 时 间 tt。 而且， 只 有 活动 实例 的 要 求 
还 没有 得 到 满足 ， 该 策略 才 给 作业 分 配 时 间 片 。 与 这 些 规则 相对 应 的 调度 的 构造 可 具体 描 
述 如 下 。 : 

调度 策略 

考虑 一 个 周期 作业 模型 了 ， 其 中 每 个 作业 了 都 有 周期 eC). BE OCD 和 最 坏 执 行 
时 间 水 J)。 对 于 每 个 时 间 上 一 0，1，2，…，EDF 调度 策略 决定 下 一 个 时 间 片 的 分 配 ， 
并 按照 下 面 的 步骤 一 步 一 步 建立 EDF 调度 c。 考 虑 一 个 作业 J 。a 是 一 个 唯一 的 数 ， 使 
得 a(J, a)St<e(J, at+1). ÆRE 上 作业 了 的 截止 期 是 作业 J 这 个 实例 的 截止 期 ， 即 
OJ, a), WRIA o 在 前 :个 时 间 片 已 经 为 作业 了 的 这 个 特殊 实例 分 配 了 7(JD) 个 时 间 
片 ， 那 么 它 不 需要 更 多 的 计算 时 间 。 为 了 形式 化 这 个 策略 ， 如 果 ola, a), th D< 
J> RIE c， 我 们 说 任务 本 在 时 间 t 已 经 就 绪 。 如 果 在 时 间 t 没 有 任何 作业 就 绪 ， 
那么 下 一 个 时 间 片 就 不 需要 分 配 ， 即 ol) 二 1 。 否 则 ， 它 选择 作业 J]， 使 得 该 作业 J 在 
时 间 zt 已 经 就 绕 ， 并 且 在 时 间 t 在 所 有 就 绪 作 业 中 具有 最 早 的 截止 期 ， 即 a(z) = 二 J， 使 得 
在 时 间 t 作 业已 经 就 绕 ， 并 且 如 果 还 有 男 一 个 作业 天 也 在 时 间 t 就 结 ， 那 么 作业 J 在 
时 间 t 的 截止 期 小 于 或 等 于 作业 K 在 时 间 zt 的 截止 期 。 注 意 ， 如 果 多 个 就 绪 作 业 有 相同 
的 截止 期 ， 那 么 根据 EDF 策略 ， 它 们 中 的 任意 一 个 都 可 以 被 选择 ， 选 择 的 标准 根据 具 
体 实 现 中 其 他 准则 而 定 。 

EDF 调度 的 定义 总 结 如 下 。 


EDF 调度 
一 个 周期 作业 模型 7 的 调度 o 是 EDF 调度 ， 当 对 每 个 时 间 上 过 0， 如 果 调 度 o 在 时 





间 z BATE MRA. BAcHO=1L, SW oO=J. RIE o 的 作业 JJ FEMA RA 
并 且 对 于 每 个 作业 KET, BAM K 在 时 间 t 没有 就 绕 ， 要 人 么 作业 J CEM al ¢ 的 截止 
期 小 于 或 等 于 作业 K 在 时 间 t 的 截止 期 。 





例子 

让 我 们 再 次 考察 一 个 周期 作业 模型 ， 它 包含 两 个 作业 J 和 J J 的 周期 为 5， 截 止 
期 为 4，WCET 为 3; J: 的 周期 为 3， 截止 期 为 3，WCET 为 1( 如 图 8-2 和 图 8-3 所 示 ， 
该 作业 模型 是 满足 截止 期 的 周期 调度 )。 假 设 我 们 想 根 据 EDF 策略 为 这 个 模型 构建 一 个 
调度 。 

最 初 ， 在 时 间 t 二 0， 两 个 作业 1 和 J; 都 已 就 绪 ( 由 于 它们 各 自 的 第 一 个 实例 的 请 求 还 
没有 得 到 满足 )， 作 业 万 的 截止 期 是 4， 作 业 J; 的 截止 期 是 3。 因此 EDF 策略 将 第 一 个 时 
间 片 分 配给 作业 J;。 结 果 ， 在 时 间 1 和 时 间 2， 作 业 J; 不 再 就 绪 ( 相 应 活动 实例 的 请 求 已 
经 得 到 满足 )， 策 略 在 这 些 时 间 选 择 作业 Jio ERE 3， 作 业 ;的 第 二 个 实例 到 来 ， 因 此 
在 时 间 3 两 个 作业 都 就 绪 。 此 时 ， 作 业 厂 的 截止 期 仍然 是 4,， 但 作业 万 的 截止 期 现在 是 
6。 结 果 ，EDF 策略 将 把 下 一 个 时 间 片 分 配给 作业 J. ERT 4， 作 业 三 不 再 就 绪 ， 因 此 
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后 续 时 间 片 分 配给 作业 J,。 在 时 间 5， 作 业态 不 再 就 绪 ， 因 为 它 的 活动 实例 的 请 求 已 经 满 
足 ， 但 作业 万 再 次 就 绪 ， 因 为 它 的 第 二 个 实例 到 来 。 这 样 ，EDF 策略 在 时 间 5 选择 作业 
Ji. TERI 6， 作 业 J; 的 第 三 个 实例 到 来 ， 两 个 作业 都 已 就 绪 。 此 时 ， 两 个 作业 的 截止 期 
都 等 于 9。 结 果 ，EDF 策略 可 以 自由 地 选择 这 两 个 作业 中 的 任何 一 个 。 假 设 它 由 于 作业 J 
的 标识 符 比 作业 万 的 小 而 选择 作业 万 。 基 于 同一 个 原因 ， 下 一 个 时 间 片 也 分 配给 作业 J 
在 时 间 8 和 时 间 9， 只 有 作业 J 就 绪 并 得 到 选择 。 在 时 间 10 和 时 间 11， 只 有 作业 J RRA 
并 得 到 选择 。 在 时 间 12， 两 个 作业 都 就 绪 ， 作 业 六 的 截止 期 是 14， 作 业 J; 的 截止 期 是 
15。 因 此 ，EDF 策略 分 配 下 一 个 时 间 片 给 作业 矿 。 在 时 间 13， 只 有 作业 Je 就 绪 并 获得 下 
一 个 时 间 片 。 在 时 间 14， 没 有 作业 就 绪 ， 因 此 接 下 来 的 时 间 片 没有 分 配 。 后 面 的 调度 以 
15 为 周期 循环 。 实际 上 ， 以 此 方式 构造 的 EDF 调度 等 价 于 图 8-3 所 示 的 调度 。 

EDF 策略 的 属性 

在 8.2.2 节 中 ， 我们 将 学 习 在 何 种 条 件 下 ,保证 EDF 策略 产生 一 个 满足 截止 期 的 调 
度 。 下 面 我 们 学 习 一 些 基 本 属性 。 

无 论 什么 时 候 制 定 调度 策略 ，EDF 策略 都 是 从 就 绪 作 业 中 选择 当前 具有 最 早 截止 期 
的 作业 ， 而 不 用 显 式 地 分 析 这 种 策略 的 全 局 结果 。 这 种 策略 是 称 为 仿 森 算法 的 经 典 算法 的 
二 个 例子 

我 们 假设 无 论 何 时 EDF 调度 策略 需要 在 具有 相同 截止 期 的 就 绪 作 业 中 选择 一 个 作业 ， 
它 都 使 用 固定 的 决策 规则 (例如 ， 选 择 最 小 标识 符 的 作业 )。 根 据 这 个 假设 ，EDF 策略 产 
生 的 调度 是 周期 调度 ， 该 调度 的 周期 等 于 所 有 作业 的 周期 的 最 小 公 倍 数 。 

在 图 8-3 所 示 的 EDF 策略 中 ， 在 时 间 0， 给 作业 JAT EEA 帮 i 高 的 优先 级 ， 而 
在 时 间 3， 给 作业 万 分 配 了 比 作业 ;高 的 优先 级 。 这 种 在 就 绪 作 业 中 它们 的 相关 优先 级 随 
时 间 而 不 同 的 调度 策略 称 为 动态 优先 级 策略 。 

通常 ， 使 用 EDF 策略 产生 的 调度 可 能 是 抢占 式 的 。 例 如 ， 考虑 一 个 作业 集合 ， 它 包 
含 两 个 作业 万 和 大。 作业 万 的 周期 为 2， 截 止 期 为 1，WCET 为 1; 作业 万 的 周期 为 4， 
截止 期 为 4，WCET X 2, EDF 策略 在 时 间 0 和 2 选择 作业 Ji ERE 1 和 3 选择 作业 
J:。 由 此 产生 的 调度 是 满足 截止 期 的 ， 且 是 抢占 式 的 。 

在 我 们 的 EDF 策略 描述 中 ，EDF 策略 在 每 个 时 间 片 决定 哪个 作业 运行 。 然 而 ， 根 据 
下 面 的 观察 ， 不 需要 在 每 个 时 间 片 都 执行 判断 逻辑 。 当 在 时 间 t 选择 作业 J， 如 果 同 时 满 
足 如 下 两 个 条 件 ， 那 么 保证 EDF 策略 在 时 间 :十 1 也 选择 同一 个 作业 : 1) 作业 本 的 当前 活 
动 实例 的 执行 还 没有 完成 ; 2) 在 时 间 上 十 1 没有 其 他 作业 K 的 实例 到 来 。 例 如 ， 在 图 8-3 
所 示 的 调度 中 ， 在 时 间 1 选择 作业 九 ， 在 下 一 个 时 间 ， 或 者 当前 作业 的 实例 没有 完成 它 的 
执行 ， 或 者 没有 作业 J 的 新 实例 到 来 ， 这 保证 在 时 间 2 也 选择 作业 万 。 换 言 之 ， 只 有 在 
就 绪 作 业 的 集合 变化 时 调度 器 需要 对 分 配给 作业 的 处 理 时 间 做 出 决策 ， 而 只 有 当 作 业 的 当 
前 实例 完成 执行 或 者 另 一 个 作业 的 新 实例 到 来 时 才 会 出 现 这 种 情况 。 

这 是 图 8-1 所 示 的 调度 器 架构 中 的 一 种 实现 EDF 策略 的 常用 方法 。 调 度 器 维护 了 一 个 
列表 WaitingJobs， 它 包含 按照 它们 相对 优先 级 递减 顺序 排列 的 正在 等 待 处 理 时 间 的 所 有 
作业 。 当 前 运行 的 作业 完成 执行 时 ， 如 果 列 表 WaitingJobs 不 为 空 ， 那么 就 把 列表 Wait- 
ingJobs 中 的 第 一 个 作业 从 该 列表 中 删除 ， 并 给 该 作业 分 配给 处 理 器 。 当 有 作业 本 的 一 个 
新 实例 到 来 时 ， 调 度 器 执行 如 下 步 又。 如 果 当 前 没有 作业 分 配给 处 理 器 ， 那 么 给 作业 J 分 
配 处 理 时 间 。 和 否则 ， 假 设 作 业 卫 是 当前 分 配给 处 理 器 的 作业 。 如 果 新 加 入 作业 本 的 新 到 来 
的 实例 的 截止 期 比 作 业 的 截止 期 小 ,那么 作业 了 被 抢占 ， 将 作业 加 入 队列 Waiting- 
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Jobs 的 队 首 ,给 作业 J 分配 处 理 器 。 如 果 不 是 ， 将 作业 J 的 新 到 达 的 实例 的 截止 期 与 那些 

已 经 存储 在 列表 申 排序 好 的 作业 的 截止 期 比较 ， 根 据 比 较 结果 把 该 作业 的 新 实例 插入 就 绪 

任务 的 队列 WaitingJobs 的 合适 位 置 。 

练习 8. 5: 一 个 周期 作业 模型 包含 两 个 作业 J 和 J， 本 的 周期 为 5、 截 止 期 为 4 和 WCET 为 3; 作业 J: 
的 周期 为 3、 截止 期 为 3 和 WCET 为 1。 图 8-3 显示 通过 EDF 策略 构造 的 一 个 调度 ， 假 设 不 论 
两 个 作业 何 时 就 绪 ， 当 它们 具有 相同 截止 期 时 ， 选 择 作业 J，。 请 用 EDF 策略 说 明 不 论 两 个 作 
业 何 时 就 绪 ， 当 它们 具有 相同 截止 期 时 ， 选 择 作业 J AIN 

练习 8. 6: 一 个 周期 作业 模型 包含 3 个 作业 Jis JA Ja， 万 的 周期 为 6、 截止 期 为 5 和 WCET H 2; 作 
业 三 的 周期 为 8、 截 止 期 为 4 和 WCET 为 2; 作业 J 的 周期 为 12、 截 止 期 为 8 和 WCET 为 4。 
请 根据 EDF 策略 构建 一 个 调度 (如 果 多 个 就 绪 的 作业 具有 相同 的 截止 期 ， 首 先 选择 作业 J, 
其 次 是 作业 Ja 最 后 是 作业 Js). 


8.2.2 ”EDF 的 最 优 性 


给 定 一 个 周期 作业 模型 ， 什 么 时 候 EDF 调度 策略 保证 生成 截止 期 满足 的 调度 ? 如 下 
定理 所 述 ， 只 要 模型 是 可 调度 的 ，EDF 策略 就 保证 生成 截止 期 满足 的 调度 。 这 就 是 为 什 
么 EDF 策略 被 认为 是 最 优 的 算法 : 只 要 这 样 的 调度 存在 ， 就 可 以 保证 生成 截止 期 满足 的 
调度 。 

定理 8.2(EDF 的 最 优 性 ) 如果 了 是 一 个 可 调度 的 周期 作业 模型 ， 并 且 o 是 了 的 一 个 
EDF HÆ, MA o 是 截止 期 满足 的 。 

TERA: 设 .7 是 一 个 可 调度 的 周期 作业 模型 ， 设 c 是 了 的 一 个 EDF 调度 。 我 们 想 要 证 明 
调度 o 满足 所 有 作业 的 所 有 实例 的 截止 期 。 采 用 反 证 法 证 明 。 也 就 是 说 ， 假 设 调度 c 错过 
某 个 截止 期 ， 我 们 就 将 得 出 一 个 矛盾 。 假 设 存 在 一 个 作业 的 一 个 实例 ， 使 得 调度 o 在 截止 
期 前 没有 给 这 个 实例 分 配 足 够 的 时 间 片 ， 令 是 这 个 错过 的 截止 期 的 时 间 。 

由 于 作业 模型 7 是 可 调度 的 ， 所 以 存在 一 个 满足 所 有 截止 期 的 调度 of 。 考 虑 两 个 调度 
o 和 oa 。 由 于 o' 满 足 所 有 的 截止 期 ， 而 调度 o 错失 至 少 一 个 截止 期 ， 所 以 这 两 个 调度 不 能 
相等 。 我 们 用 diff(s，o') 表 示 两 个 调度 产生 不 同 选 择 的 第 一 个 时 间 实 例 ， 即 diff(o, o= 
t, EoD a), 并且 对 于 所 有 的 t <t, o) =o t). RREK H E A e 必须 小 于 调 
度 o 错过 而 c 没有 错过 的 截止 期 +。 

对 于 作业 模型 了， 可 能 存在 多 个 截止 期 满足 的 调度 。 我 们 用 oi 表示 所 有 这 种 截止 期 满 
足 的 调度 o 中 的 一 个 调度 ， 使 得 diff(c，c') 是 最 大 的 。 也 就 是 说 ， 对 于 作业 模型 了 7， 调度 
oi 是 截止 期 满足 的 调度 ， 使 得 如 果 o' 也 是 截止 期 满足 的 调度 ,那么 diff(o, o')<diff lo, 
01)。 换 言 之 ， 只 要 可 能 不 放弃 保持 截止 期 满足 的 目标 ， 调 度 o 45 EDF 调度 o 做 出 相同 的 
选择 。 

4 ti =diffle, o). RIIA ol# ) 关 oi Ga )， 并 且 对 于 所 有 的 1 二 hh，o(t)= 二 a1 (t). R 
们 将 根据 olt) 和 wo lw) 的 值 考虑 不 同 的 情况 。 针 对 每 种 情况 ， 我 们 构建 男 一 个 调度 on. AE 
得 D 调度 o; 是 截止 期 满足 的 ; 2) diff, os) 记 tH 。 这 与 选择 调度 a 的 方式 相 了 矛盾 ， 这 说 
明 我 们 最 初 的 假设 调度 c 错过 了 某 个 截止 期 不 成 立 ， 证 毕 。 

BiB ot) =J Mot) =K AJAK, Wt. EE K 在 时 间 刀 就 绪 ( 如 图 8-4 所 
mA). Sek J AK 在 时 间 刀 的 截止 期 分 别 是 二 和 zx。 由 于 EDF 调度 在 时 间 ot, ee PEE 
J， 所 以 作业 了 必须 是 在 时 间 握 已 经 就 绪 的 所 有 作业 中 具有 最 早 截止 期 的 那个 作业 ， 即 
tk. AFL 本 在 时 间 刀 就 绕 ， 所 以 在 时 间 : 它 的 激活 实例 的 需求 还 未 得 到 满足 ， 在 
截止 期 志 前 它 需 要 至 少 一 个 时 间 片 。 由 于 调度 oi 是 截止 期 满足 的 ， 所 以 一 定 存 在 一 个 时 间 


357 


220 £8¢ 





SEB t, E t <t <t H on (.)=J. 





8-4 EDF 最 优 性 证 明 


现在 定义 调度 oz， 使 得 对 于 所 有 的 tA BB th, o (t)=o (t) H cs (t) =J Ho:(t:) =K 
(如 图 8-4 所 示 )。 也 就 是 说 ， 通 过 在 时 间 4 A t ZEAN J AK 的 选择 从 截止 期 满足 的 调 
Eo 得 到 调度 o. WAELE, KA a A t FEAE 丁 的 同一 个 激活 实例 和 作业 
Hh, ESB CAA ES AT. AE, ERARE Mo, AA 
作业 的 每 个 实例 分 配 的 时 间 片 数 是 相同 的 。 可 以 得 出 ， 调 度 so; 也 是 截止 期 满足 的 。 现 在 ， 
EDF 调度 o 和 :在 小 于 或 等 于 时 间 乓 的 时 间 是 一 样 的 ， 因 此 条 件 diff(om ，o ) >1 必须 
成 立 。 
对 于 剩 下 的 情况 ， 无 论 1) cG) 王 上 且 o (5) 天 上; 或 者 2) ol(t1) 二 J 且 o1(t1) 了 关 1; 或 
者 3) cG) 王 了 且 cl Ga) 王 玉 ， 使 得 作业 K 在 时 刻 握 没有 就 绪 。 在 所 有 的 这 些 情况 下 ， 定 
义 调度 mm ， 使 得 对 于 所 有 的 tA, 0 0) =0 (0) A oj (#1) 二 ol )。 我 们 将 这 个 证 明 留 作 练 
习 来 验证 由 此 产生 的 调度 so 是 截止 期 满足 的 且 条 件 diffs 0) >t DAMA. m 
这 个 证 明说 明 ， 在 任何 步 又， 如 果 一 个 截止 期 满足 的 调度 选择 了 作业 K， 而 不 是 截止 
期 比 K 的 更 早 的 作业 J， 那 么 调度 就 应 该 选择 任务 J MEERES K, KERTA E 
过 截止 期 。 这 个 证 明 的 核心 思想 可 以 应 用 到 更 通用 的 作业 模型 中 ， 并 进一步 表明 即使 在 周 
期 作业 和 非 周期 作业 都 存在 的 情况 下 ， 只 要 有 一 个 存在 EDF 策略 都 生成 截止 期 满足 的 
调度 。 
练习 8.7: 完成 定理 8. 2 的 证 明 : 说 明定 理 8. 2 证明 的 最 后 一 段 定 义 的 调度 满足 所 有 的 截止 期 上 且 条 件 
diff(o; ，cz ) >t MIL. 
练习 8.8: 我 们 已 经 知道 如 果 存 在 一 个 截止 期 满足 的 调度 ,那么 EDF 策略 产生 一 个 这 样 的 调度 。 但 是 ， 
说 明 下 面 的 说 法 是 错误 的 : 如 果 存 在 一 个 非 抢占 式 截止 期 满足 的 调度 ， 那 么 EDF 策略 也 保证 
产生 这 样 一 个 这 样 的 调度 。 也 就 说 ， 构 建 一 个 作业 模型 了 (有 两 个 作业 )， 使 得 1) 存在 一 个 非 
抢占 式 截 止 期 满足 的 调度 o 2) EDF 策略 生成 的 截止 期 满足 的 调度 是 抢占 式 的 。 


8.2.3 基于 利用 率 的 可 调度 性 测试 


我 们 知道 只 要 周期 作业 模型 是 可 调度 的 ，EDF 策略 就 生成 一 个 截止 期 满足 的 调度 。 
但 是 我 们 能 检测 一 个 周期 作业 模型 是 否 是 可 调度 的 吗 ? 或 等 价 地 ， 在 没有 明确 生成 一 个 
EDF 调度 且 检 测 该 调度 是 否 满足 所 有 的 截止 期 的 情况 下 EDF 策略 无 法 判断 调度 是 否 正 确 。 
这 说 明 当 所 有 的 截止 期 都 隐 式 的 时 ， 即 对 于 每 个 作业 J， 截 止 期 SCJ) 等 于 其 周期 1J), 
可 调度 性 的 测试 就 变 得 非常 简单 : 一 个 周期 作业 模型 是 可 调度 的 仅 当 它 的 利用 率 小 于 或 等 
于 1。 我 们 已 经 知道 如 果 利 用 率 大 于 1， 则 对 人 处理 时 间 的 需求 就 超过 了 可 用 的 处 理 时 间 ， 
这 样 作业 模型 就 是 不 可 调度 的 。 下 面 的 定理 证 明 如 果 利 用 率 小 于 或 等 于 1， 那么 EDF 调度 
是 截止 期 满足 的 。 
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定理 8. 3( 截 止 期 等 于 周期 的 可 调度 性 测试 ) 令 J 是 一 个 周期 作业 模型 RATE 
个 作业 J，6(]) 二 x(J)。 那 么 作业 模型 了 是 可 调度 的 当 且 仅 当 U(JI)S<1。 
证 明 : 设 7 是 一 个 周期 作业 模型 ， 使 得 对 于 每 个 作业 K,，6(K) 二 x(K)。 © 
U = X 4(K)/x(K) (8-1) 


KEJ 


是 作业 模型 的 利用 率 。 

WR U>1， 那 么 对 处 理 时 间 的 总 需求 超过 了 可 用 的 时 间 ， 那 么 就 不 存在 截止 期 满足 
的 调度 ， 作 业 模 型 是 不 可 调度 的 。 

相反 ， 假 设 作 业 模 型 7 是 不 可 调度 的 。 考 察 作 业 J 的 一 个 EDF 调度 c。 调 度 "不 是 截 
止 期 满足 的 。 我 们 继续 证 明 利 用 率 U 必须 大 于 1。 

由 于 调度 a 不 是 截止 期 满足 的 ， 那么 必须 存在 一 个 作业 J 和 作业 了 的 一 个 实例 ;， 使 
得 调度 o 不 能 为 实例 本 分 配 足 够 的 时 间 片 。 令 二 是 这 个 实例 的 到 达 时 间 ， 即 ti =a, i), 
令 刀 是 这 个 实例 的 截止 期 B=, DSa, i+ DA, 8-5 所 示 。 我 们 知道 实 
例外 错过 了 截止 期 ， 因此 对 于 时 间 间 隔 L，t:) 中 小 于 CJ BNL TE ASE Bi), WA BE a 选择 作业 
J: RIF olti, thy D<) UMRE 








a(K, b) a(K, c) 


0 选择 截止 期 限 < sa 的 任务 ， 它 的 时 间 间 隔 最 长 





to ti 


b 
a(J, i) J 了 ' 错 过 截止 期 限 


图 8-5 EDF 可 调度 性 测试 的 证 明 


考虑 一 个 时 间 CH, CWE KK, 我 们 知道 作业 J 在 时 间 t 就 绪 ， 它 的 截止 期 
是 tzo EDF 调度 c 在 时 间 : 必须 选择 一 个 保持 处 理 器 忙 的 作业 : oO AL. WA, EDF 策 
略 选择 一 个 具有 最 早 截止 期 的 作业 ， 因 此 如 果 oO =K, BRACE TA ¢ 作业 的 截止 期 必 
须 小 于 或 等 于 t,。 

A bo。 是 最 短 时 间 ， 使 得 对 于 所 有 时 间 实 例 :，t。 志 :二 ts WE o 在 时 间 z 选择 某 个 作业 
K， 使 得 在 时 间 :作业 KK 的 截止 期 二 t,。 也 就 是 说 ， 选 择 时 间 实 例 t。 ， 这 样 时 间 间 隔 [i， 
如 ) 是 最 长 的 间隔 ， 使 得 处 理 器 在 该 时 间 间 隔 中 的 所 有 时 间 一 直 处 于 忙 状 态 ， 并 给 它 分 配 
一 个 截止 期 或 更 早 的 作业 实例 。 通 过 前 面 的 论述 ， 时 间 间 隔 [t，t;) 满 足 期 望 的 条 件 ， 
但 它 可 能 不 是 最 长 的 时 间 间 隔 ， 因 此 通过 向 左 扩展 这 个 时 间 间 隔 来 选择 如 只 要 调度 o 为 作 
业 实 例 分 配 小 于 或 等 于 截止 期 t 的 时 间 片 。 

通过 选择 t。 ， 处 理 器 在 整个 时 间 间 隔 [Lt6，t) 中 都 处 于 忙 状 态 ， 因 此 得 出 该 间隔 的 长 
度 等 于 在 该 时 间 间 隔 内 调度 = 给 每 个 作业 分 配 的 时 间 片 数 的 总 和 。 

be — tp =>) oC tosts KK) (8-2) 


KEJ 
证 明 目 标的 下 一 步 是 推导 出 每 个 量 z(t。，t;，K) 的 值 的 边界 。 为 此 ， 我 们 说 明 : 
断言 : 如 果 调 度 o 在 时 间 间 隔 [t，ts) 内 为 作业 K 分 配 一 个 时 间 片 ， 那 么 作 
kK 的 相应 实例 位 于 在 时 间 间 隔 [ 如 ，ts) 内 。 
考虑 任意 一 个 作业 K, j 是 作业 五 的 一 个 实例 。 作 业 实 例 Ki 对 应 的 时 间 间 隔 为 La(K， 
让，a(K，j 十 1))。 如 果 该 时 间 间 隔 没 有 包含 在 时 间 间 隔 Lt。，ts) 内 ， 那 么 下 面 3 种 情况 之 
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一 将 会 发 生 。 

第 一 种 情况 : eK, D, aK, jADE t RAER, AAE 
发 生 在 a(K， 门 本 ts 或 者 a(K，j 十 1) 志 ww 的 条 件 下 。 此 时 ， 作 业 实 例 KEREL, t) A 
与 作业 调度 没有 关联 。 在 图 8-5 中 ,这些 是 作业 K 的 第 a 个 实例 前 或 第 c 个 实例 后 的 实例 。 

第 三 种 情况 : 时 间 间 隔 之 间 可 能 存在 重 全 ,但 是 a(K，j 十 1) 之 t; (如 图 8-5 所 示 的 作 
Me K 的 第 c 个 实例 )。 我 们 知道 在 整个 时 间 间 隔 Lt。 t) A WEE o 选择 一 个 作业 当 且 仅 当 
它 的 当前 截止 期 不 超过 t; 。 整 个 时 间 间 隔 [aCK， 门 ，a(K，j 十 1)) 对 应 作业 实例 Ki， 其 截 
止 期 是 a(K，j 十 1)， 它 超过 了 t。， 这 样 ， 我 们 可 得 出 ， 在 时 间 间 隔 Lt。，i;) 内 ， 调 度 没有 
为 这 样 的 实例 K’ 分 配 任何 时 间 片 。 

第 三 种 情况 : 对 应 于 作业 实例 KATIA BS. t EA, Bb aK, f+ DAT 
t, {Ade aK, j)<t CQ 8-5 所 示 的 作业 K 的 第 a 个 实例 。 我 们 断言 : 在 这 种 情况 ， 

在 调度 o 中， 作业 K EMM RARE. 

也 就 是 说 ， 在 时 间 间 隔 La(K，j)，t。) 内 ， 作 业 实 例 Ki 的 所 有 要 求 都 已 经 满足 ， 作 业 上 在 
时 间 间 隔 Lt。，a(K，j 十 1)) 内 不 需要 任何 时 间 片 。 由 于 调度 器 只 选择 就 绪 的 作业 ， 所 以 在 
时 间 间 隔 Lt。，zt;) 中 ， 调 度 并 不 给 作业 实例 Ki 分 配 时 间 片 。 

为 了 证 明 这 个 断言 ， 用 反 证 法 假设 作业 K 在 时 间 就 绪 。 也 就 是 说 ， 在 时 间 ,之 前 没 
有 给 作业 实例 K’ 分 配 足 够 的 处 理 时 间 。 考 虑 一 个 时 间 实 例 t 使 得 a(K， 门 达 t 二 tio。 作业 KK 
在 时 间 t 就 绪 ， 在 时 间 t 它 的 截止 期 是 x(K，j 十 1)。 根 据 EDF 策略 ，o(t) 不 可 能 是 | ， 它 
必须 是 一 个 作业 ， 其 在 时 间 t 的 截止 期 二 a(K，j 十 1)。 由 于 a(K，j 十 1) 二 t, ， 所 以 我 们 可 
以 得 出 : 在 时 间 间 隔 La(K ，;)，z) 中 ， 调 度 器 每 次 选取 一 个 截止 期 小 于 或 等 于 i 的 作业 。 
但 是 ， 这 与 假设 [，%) 是 最 长 的 时 间 间 隔 相 矛盾 。 换 言 之 ， 如 果 作 业 K 在 时 间 z 如 就 绪 ， 
那么 我 们 需要 将 [t。，z;) 扩 大 到 [a(K， PD +e Ba Dos 

这 样 ， 我 们 已 经 说 明 ， 当 EDF JAB o 在 时 间 间 隔 Lt。，t; ) 中 的 一 个 时 间 实 例 t 选择 作 
WK 时 ， 作业 KK 的 相应 实例 必须 完全 在 时 间 间 隔 Li。，z;) 中 ，( 如 图 8-5 中 的 作业 K 的 第 6 
个 实例 )。 时 间 间 隔 [t。，z,) 的 长 度 为 t, 一 t。。 对 应 于 任何 作业 K 的 实例 的 间隔 长 度 为 
x(K)。 可 以 得 出 完全 位 于 时 间 间 隔 Lt。，zs) 中 的 作业 K 的 实例 数 最 多 为 (1 一 to)/x(K)。 
需要 注意 的 是 ， 可 能 与 时 间 间 隔 Lt。，ts) 重 蕉 的 作业 K 的 实例 数 是 部 分 重 释 的 两 个 极端 实 
例 数 与 完全 落 在 该 时 间 间 隔 的 实例 数 之 和 。 但 是 我 们 没有 为 这 两 类 极端 实例 分 配 任何 的 时 
间 片 。 

对 于 完全 位 于 时 间 间 隔 Lt。，ts) 内 的 作业 K 的 每 个 实例 ， 调 度 至 多 分 配 x(K) 个 时 间 
片 。 可 以 得 出 ， 对 于 每 个 作业 K， 

a(t st2,K) < QK) + (ts — to) /n( K) (8-3) 

式 (8-3) 对 于 作业 了 也 成 立 。 但 是 ， 我 们 知道 ， 实 例 三 由 调度 o 分 配 严格 小 于 7(J) 的 

时 间 片 (因为 该 实例 错过 了 它 的 截止 期 e)， 这 意味 着 下 面 的 严格 不 等 式 成 立 。 


OC ty stzsJ) < CJ) © (ts — to) /xJ) (8-4) 
将 所 有 的 作业 的 不 等 式 (8-3) 相 加 ， 说 明 对 于 作业 J 不等式 至 少 是 严格 的 并 导致 : 
tr K) < ZE) Cta =to) /x(K) (8-5) 
用 式 (8-1) 中 的 UU 替换 上 式 中 的 项 ， 得 到 
Da anta K) < (to to) U (8-6) 
KEJ 


由 式 (8-2) 和 式 (8-6) ， 得 到 
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CS ha ea te U 
HF te —t EIEN. MALKU, 定理 得 证 。 a 


8.3 固定 优先 级 调度 


EDF 策略 是 一 种 动态 优先 级 策略 ， 其 中 给 同一 作业 的 不 同 实例 分 配 不 同 的 优先 级 ， 
结果 ， 在 某 个 时 间 实 例 ， 作 业 J 的 优先 级 高 于 男 一 个 作业 K ， 而 在 某 个 其 他 时 间 实 例 ， 作 
W 的 优先 级 高 于 作业 .J 厂 。 现 在 我 们 来 研究 固定 优先 级 策略 ， 其 中 给 每 个 作业 静态 地 分 配 
固定 的 优先 级 ， 并 且 每 当 调度 器 必须 选择 作业 时 ， 选 择 具 有 最 高 优先 级 的 作业 。 特 别 地 ， 
我 们 将 分 析 最 常用 的 调度 策略 ， 即 单调 截止 期 策略 和 单调 速率 策略 。 


8.3. 1 单调 截止 期 策略 和 单调 速率 策略 


固定 优先 级 策略 

为 一 个 作业 集合 分 配 优先 级 是 给 作业 集合 中 每 个 作业 分 配 一 个 数字 ， 使 得 没有 任何 两 
个 作业 具有 相同 的 数字 。 给 定 两 个 作业 了 和 天 ， 如 果 分 配给 作业 本 的 数字 大 于 分 配给 作业 
K 的 数字 ， 则 该 作业 J EEK 具有 更 高 的 优先 级 。 给 定 这 样 的 优先 级 分 配 ， 固 定 优先 
级 调度 策略 总 是 倾向 于 执行 优先 级 高 的 作业 。 

更 准确 地 ， 固 定 优 先 级 调度 在 每 个 时 间 二 0，1，2，…， 以 下 面 的 方式 构造 。 给 定 一 
个 调 时 间 :， 如 果 作业 J 的 实例 在 时 间 上 是 活动 的 ， 且 尚未 给 它 分 配 执行 所 需 的 时 间 片 
a, WERE J ERE 是 就 绪 的 。 如 果 在 时 间 t 没有 就 绪 的 作业 ， 那 么 下 一 个 时 间 片 
不 用 分 配 。 否 则 ， 固 定 优 先 级 调度 选择 在 时 间 t 就 绪 的 作业 ， 并 且 是 那个 时 间 所 有 就 绪 作 
业 中 优先 级 最 高 的 作业 。 

固定 优先 级 调度 策略 总 结 如 下 。 


固定 优先 级 调度 策略 

一 个 周期 作业 模型 7 的 优先 级 分 配 可 以 描述 为 一 个 函数 op， 该 函数 将 作业 集合 中 的 
每 个 作业 J EJ 了 映射 为 一 个 自然 数 ， 使 得 对 于 每 两 个 不 同 的 作业 本 和 K，, p(J)Ap(K). 
周期 作业 模型 7 的 调度 c 称 为 关于 优先 级 分 配 o 的 固定 优先 级 调度 ， 如 果 对 于 每 一 个 时 
间 20, WREE o 中 没有 作业 在 时 间 上 RA MAcHO=L, BWAS, (eB 
该 作业 在 时 刻 t 在 调度 a 中 是 就 绪 的 ， 并 且 对 于 每 个 作业 KE7， 作 业 开 在 时 间 : 在 
调度 a 中 要 么 没有 就 绕 ， 要 么 p(K)<p(J). 


给 定 一 个 优先 级 分 配 p， 对 应 的 固定 优先 级 调度 仅 取决 于 由 优先 级 决定 的 作业 顺序 ， 
而 不 取决 于 分 配给 作业 的 数字 值 。 更 确切 地 ， 考 虑 包含 两 个 作业 J 和 大 的 周期 调度 模型 7 
的 两 个 优先 级 分 配 p 和 p'， 使 得 对 于 每 对 作业 J 入， 当 p >p KO, p(J)>p(K) 
在 每 个 时 间 :， 无 论 是 基于 优先 级 分 配 p 还 是 优先 级 分 配 p'， 固 定 优先 级 调度 器 做 出 相同 
的 调度 策略 。 因 此 ， 在 这 种 情况 下 ， 关 于 分 配 p 的 固定 优先 级 调度 与 关于 分 配 p' 的 固定 优 
先 级 调度 是 一 致 的 。 

单调 截止 期 和 单调 速率 优先 级 

一 旦 我 们 决定 采用 固定 优先 级 调度 策略 ， 调 度 策略 的 唯一 选择 涉及 如 何 为 作业 分 配 优先 
级 。 如 果 一 个 作业 J 的 周期 比 另 一 个 作业 K 的 周期 小 ， 那 么 作业 了 的 实例 比 作业 K 的 实例 
更 快 到 达 ， 这 表明 应 该 给 作业 分 配 更 高 的 优先 级 。 这 种 优先 级 分 配 规则 称 为 单调 速率 ; 作 
业 的 优先 级 分 配 p 是 单调 速率 优先 分 配 ， 如 果 对 于 每 对 作业 J AK, WR x(J)<x(K)， 那 
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么 oCJ) 三 5(CK)。 注 意 ， 如 果 两 个 作业 具有 相同 的 周期 ， 那 么 单调 速率 优先 级 分 配 仍然 需要 将 
不 同 的 优先 级 分 配给 它们 ， 并且 策略 需要 决定 两 个 作业 之 中 谁 应 该 赋予 较 高 的 优先 级 。 

当 所 有 截止 期 是 隐 式 的 时 ， 也 就 是 说 ， 对 于 每 一 个 作业 ， 甚 截止 期 等 于 它 的 周期 ， 结 
果 是 单调 速率 策略 是 分 配 优先 级 的 最 佳 选择 。 然 而 ， 当 作业 有 明确 指定 的 截止 期 时 ， 直 观 
看 来 似乎 更 偏爱 具有 较 早 截止 期 的 作业 。 由 此 产生 的 优先 级 分 配 称 为 单调 截止 期 : 作业 的 
优先 级 分 配 p 是 单调 截止 期 优先 级 分 配 ， 如 果 对 于 每 对 作业 J AK, MR OCI) 二 6(K)， 
那么 ce(J) 之 p(K) 。 而 且 ， 如 果 两 个 作业 具有 相同 的 截止 期 ， 则 单调 截止 期 优先 级 分 配 可 
以 任意 选择 它们 中 具有 更 高 优先 级 的 一 个 作业 。 对 于 每 个 作业 的 截止 期 等 于 它 的 周期 的 情 
况 ， 单 调 截止 期 策略 的 概念 与 单调 速率 策略 的 概念 是 一 样 的 。 值 得 注意 的 是 ， 虽 然 EDF 
政策 也 更 倾向 于 具有 较 早 截止 期 的 作业 实例 ，EDF 是 一 个 动态 优先 级 调度 策略 ， 而 单调 
截止 期 是 固定 优先 级 调度 策略 。 

单调 速率 和 单调 截止 期 调度 的 概念 可 以 如 下 形式 化 。 


单调 截止 期 和 单调 速率 策略 

对 于 周期 作业 模型 7， 如 果 对 于 所 有 作业 J, KET, MR OCII<d(K), 那么 
pC 了 二 pCK)， 则 称 周期 作业 模型 7 的 优先 级 分 配 p 是 单调 截止 期 的 。 对 于 周期 作业 模 
型 7 如 果 对 于 所 有 作业 J, KEJ, MR rJ)<rK), 那么 oCJ) 二 poCK)， 则 称 周 期 作 
业 模 型 7 的 优先 级 分 配 p 是 单调 速率 的 。 如 果 存 在 一 个 单调 截止 期 优先 级 分 配 o， 使 得 
调度 o 关于 优先 级 分 配 p 是 固定 优先 级 调度 ， 则 称 周 期 作业 模型 7 的 调度 o 是 单调 截止 
期 调度 。 如 果 存 在 一 个 单调 速率 优先 级 分 配 po， 使 得 调度 o 是 关于 分 配 p 的 固定 优先 级 
调度 ， 则 称 周 期 作业 模型 ,7 的 调度 o 是 单调 速率 调度 。 


例子 

让 我 们 回顾 包含 两 个 JA J; 的 作业 模型 ， 其 中 作业 太 的 周期 为 5、 截 止 期 为 4 和 
WCET 为 3; 作业 大 的 周期 为 3、 截止 期 为 3 和 WCET 为 1。 我 们 知道 这 个 作业 模型 是 可 调 
度 的 ， 图 8-2 和 图 8-3 中 的 ， 作 业 J 和 J, 是 截止 期 满足 的 。 特 别 地 ， 图 8-3 中 的 调度 是 EDF 
调度 ， 它 有 时 喜欢 作业 万 而 不 是 作业 J:， 有 时 喜欢 作业 ;而 不 是 作业 J，。 给 作业 J 分 配 比 
作业 帮 更 高 优先 级 的 调度 策略 是 单调 截止 期 的 (也 是 单调 速率 的 )。 我 们 看 出 在 固定 优先 级 调 
度 中 ， 在 时 间 0 和 时 间 3 选择 作业 六 。 结 果 ， 作 业 矿 的 第 一 个 实例 在 它 的 截止 期 4 之 前 仅 得 
到 两 个 时 间 片 ， 错 过 了 截止 期 。 如 果 优 先 级 分 配 总 是 倾向 于 作业 J, MAN EEL J2 BART 3 
个 时 间 单 位 就 分 配给 了 作业 矿 ， 导 致 作业 J; 的 第 一 个 实例 错过 其 截止 期 。 因 此 ， 对 于 这 个 
作业 模型 ， 固 定 优先 级 调度 策略 不 能 产生 截止 期 满足 的 调度 。 

让 我 们 把 作业 厂 的 截止 期 改 为 5: 结果 导致 具有 隐 式 截止 期 的 作业 模型 有 两 个 作业 J 
和 天 ， 作 业 太 的 周期 为 5 和 WCET 为 3; 作业 J; 的 周期 为 3 和 WCET 为 1。 单调 速率 优 
先 级 分 配 仍 然 为 作业 J: AR FE EM 访 分 配 更 高 的 优先 级 。 由 此 产生 的 固定 优先 级 调度 如 
图 8-6 所 示 。 调 度 的 周期 为 15， 并 且 满 足 截止 期 。 














图 8-6 单调 速率 调度 的 说 明 
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属性 
我 们 已 经 注意 到 ， 即 使 当前 作业 模型 是 可 调度 的 时 ， 单 调 截止 期 调度 策略 也 不 可 能 产 
生 截 止 期 满足 的 调度 。 在 8. 3.2 节 和 8. 3. 3 节 中 ， 我 们 对 保证 单调 截止 期 和 单调 速率 策略 
成 功 的 条 件 进行 了 研究 。 现 在 开始 ， 我 们 将 介绍 单调 截止 期 和 单调 速率 策略 的 一 些 基 本 
属性 。 
单调 截止 期 和 单调 速率 策略 通过 一 个 简单 的 局 部 规则 解决 了 就 绪 作业 集合 的 选择 ， 与 
EDF 策略 一 样 ， 它 们 都 是 贪心 算法 的 例子 。 我 们 还 注意 到 ， 保 证 任何 固定 优先 级 调度 产 
生 一 个 周期 调度 ， 其 周期 等 于 所 有 作业 周期 的 最 小 公 倍 数 。 此 外 ， 这 些 调度 策略 产生 的 调 
度 可 能 是 抢占 式 的 (例如 ， 图 8-6 中 的 单调 速率 调度 )。 
单调 截止 期 和 单调 速率 策略 的 主要 好 处 是 实现 调度 器 所 需 的 开销 是 最 小 的 。 调 度 器 需 
要 为 每 个 作业 离线 分 配 优先 级 ， 为 此 需要 的 计算 涉及 根据 它们 的 截止 期 的 作业 排序 。 与 
EDF 策略 的 情形 一 样 ， 单 调 截止 期 /单调 速率 调度 策略 还 需要 做 出 调度 决策 ， 仅 当 一 个 作 
业 当 前 正在 执行 的 实例 完成 它 的 执行 或 者 另 一 个 作业 的 一 个 新 实例 到 来 时 。 一 个 作业 实例 
的 优先 级 等 于 静态 分 配给 该 作业 的 优先 级 ”因此 不 需要 在 运行 时 计算 优先 级 。 结 果 ， 单 调 
截止 期 和 单调 速率 策略 ， 可 以 容易 地 在 任何 支持 基于 优先 级 的 进程 调度 的 操作 系统 上 
实现 。 
练习 8. 9: 考虑 练习 8.6 的 周期 作业 模型 ， 该 模型 包括 3 个 作业 Ji. Joy Jas BP PEL 了 厂 的 周期 为 6、 
截止 期 为 5 和 WCET % 2; 作业 J: 的 周期 为 8、 截 止 期 为 4 和 WCET 为 2; 作业 J 的 周期 为 
12、 截 止 期 为 8 和 WCET 为 4。 采用 单调 速率 调度 策略 这 个 作业 模型 是 可 调度 的 吗 ? 
练习 8.10: 构造 一 个 包含 两 个 作业 的 周期 作业 模型 ， 使 得 单调 截止 期 调度 策略 产生 截止 期 满足 的 调度 ， 
但 单调 速率 调度 策略 产生 错过 截止 期 的 调度 。 


8. 3.2 单调 截止 期 策略 的 最 优 性 


我 们 已 经 注意 到 ， 与 EDF 策略 不 一 样 ， 单 调 速率 策略 不 是 产生 截止 期 满足 的 调度 的 
最 优 策 略 : 一 个 可 调度 周期 作业 模型 的 单调 截止 期 调度 是 不 必 是 截止 期 满足 的 。 在 本 节 
中 ， 我 们 建立 单调 截止 期 策略 ， 但 是 ， 它 是 所 有 固定 优先 级 调度 策略 中 最 优 的 : 如 果 存 在 
一 种 优先 级 分 配 使 得 对 应 的 固定 优先 级 调度 满足 所 有 的 截止 期 ， 则 单调 截止 期 调度 也 满足 
所 有 的 截止 期 。 这 意味 着 ， 如 果 我 们 选择 简单 旦 最 小 调度 开销 的 固定 优先 级 调度 ， 则 选择 
采用 单调 截止 期 优先 级 分 配 是 可 取 的 。 

第 一 个 实例 的 临界 

在 我 们 证 明 与 固定 优先 级 调度 相关 的 单调 截止 期 策略 的 最 优 性 之 前 ， 让 我 们 建立 一 个 
所 有 固定 优先 级 调度 都 满足 的 属性 : 如 果 一 个 固定 优先 级 调度 错过 截止 期 ， 那么 它 错过 某 
个 作业 的 第 一 个 实例 的 截止 期 。 换 句 话 说， 在 固定 优先 级 调度 中 ， 所 有 作业 的 第 一 个 实例 
是 关键 的 : 如 果 所 有 作业 的 第 一 个 实例 满足 它们 的 截止 期 ， 那 么 剩 下 的 实例 保证 满足 它们 
的 截止 期 。 这 意味 着 ， 如 果 我 们 要 判断 一 个 固定 优先 级 调度 是 否 是 截止 期 满足 的 ， 我 们 可 
以 明确 地 构建 一 个 从 时 间 c= 0 到 时 间 :一 d 的 调度 ， 确 保 直到 这 个 时 间 没 有 截止 期 错过 (其 
中 4 为 所 有 作业 的 截止 期 的 最 大 值 )， 而 不 用 构建 和 检查 整个 周期 的 调度 (时 间 三 力 ， 其 
中 pp 是 所 有 作业 周期 的 最 小 公 倍数 ,通常 小 于 p RF d. 

定理 8. 4( 固 定 优先 级 调度 中 第 一 个 实例 的 临界 ) ”如 果 o 是 一 个 周期 作业 模型 的 固定 
优先 级 调度 ， 并 且 如 果 在 调度 o 中 每 个 作业 的 第 一 个 实例 的 截止 期 都 得 到 满足 ， 那 么 调度 
G 是 截止 期 满足 的 。 

证 明 : 设 .7 为 一 个 周期 作业 模型 ，o 是 7 的 优先 级 分 配 函 数 ，c 是 作业 模型 7 关于 优先 
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级 分 配 o 的 固定 优先 级 调度 。 我 们 假设 调度 o 为 每 个 作业 的 第 一 个 实例 分 配 足 够 的 时 间 
片 。 我 们 想 要 证 明 该 调度 是 截止 期 满足 的 。 

通过 反 证 法 证 明 。 假 定 调度 o 不 是 截止 期 满足 。 那 么 必须 存在 一 个 作业 实例 ， 它 在 调 
E o 中 错过 它 的 截止 期 。 

设 J 是 错过 截止 期 的 最 高 优先 级 的 作业 。 也 就 是 说 ， 存 在 一 个 在 调度 o 中 错过 它 的 截 
止 期 的 作业 了 的 一 个 实例 ， 并 且 如 果 一 个 作业 K W E oS, WE K 的 所 有 实例 
在 调度 o 中 满足 它们 的 截止 期 。 设 作业 J 的 优先 级 为 h。 

由 假设 我 们 知道 ， 作 业 枉 的 第 一 个 实例 在 它 的 截止 期 前 得 到 %( 了 站) 个 时 间 片 。 设 DD 是 
第 一 个 实例 完成 执行 时 的 时 间 ， 也 就 是 说 ,ao(0，D,， =O) A o(D-1)=J, GUE 8-7 所 
示 )。 根 据 假设 ,得 D<6(]) 成 立 。 





0 D T Ts T+D 
图 8-7 定理 8.4 证 明 的 说 明 


HFEA 10, > 0(t) 表 示 在 从 时 间 t 开始 的 长 度 为 D 的 时 间 间 隔 内 ， 调 度 分 配给 优 
先 级 高 于 作业 J 的 作业 的 时 间 片 数 ， 
aty= >) o(.t+D,K) 


KE TJ K)>h 

对 于 每 一 个 实例 a， 作业 J 的 实例 J 在 时 间 i, 二 a(J ，a) 到 达 。 根 据 定义 ，0(zt,) 是 从 
时 间 zt 开始 的 长 度 为 D 的 时 间 间 隔 内 调度 分 配给 优先 级 高 于 作业 了 的 作业 的 时 间 片 数 。 只 
要 作业 J 需要 时 间 片 ， 没 有 分 配给 更 高 优先 级 作业 的 时 间 片 都 分 配 作业 J. Ak, MRA 
件 0G.) <D— DR, MALS 下 在 它 到 达 的 DD 个 时 间 单 位 内 完成 它 的 执行 ， 因 此 满 
足 它 的 截止 期 (因为 D 和 SCJD)) 。 

我 们 知道 作业 J 的 第 一 个 实例 在 时 间 DD 完成 ,因此 OKD J) Mae. 我们 还 知 
道 存在 一 个 错过 了 截止 期 的 作业 J SEB, RE, SEF a, 004.) >D— 9 J) DAM 
立 ， 这 意味 着 0) >00). TEWE 6CT) 二 8(0) 的 最 短 时 间 。 也 就 是 说 ， 如 果 o> 
0(0)， 那么 T 委 :。 需 要 注意 的 是 ， 这 个 特殊 的 时 间 实 例 工 不 能 超过 错过 了 截止 期 的 实例 
a 的 到 达 时 间 &。， 但 工本 身 不 一 定 是 作业 J 的 任何 实例 的 到 达 时 间 。 通 过 械 的 选择 ， 我 
们 知道 CT 一 1) 二 0CT) ， 于 是 我 们 可 以 得 出 调度 ec 不 能 在 时 间 T 一 1 选择 高 于 hh 优先 级 
的 作业 。 

我 们 继续 说 明 ， 调 度 c 在 间隔 [TT，T 十 Dj 内 为 优先 级 高 于 有 的 作业 没有 分 配 比 在 间隔 
Lo, DAEZ AAT IAI A. 

断言 : 如 果 p(K)>p(\J), #®Ao(T, THD, K)<o(0, D, K), 

考虑 作业 K, WE pe KO)>ep(V). REBR: 作业 K 的 所 有 实例 都 满足 它们 的 截止 
期 。 为 了 证 明 断 言 o(T，T 十 D，K) 二 ao(0，D，K)， 我 们 的 分 析 依 赖 于 作业 K 的 多 少 实例 与 
HO, DEZ., Pk K 的 实例 在 每 x(K) 个 时 间 单 位 到 达 。 设 mm 为 整数 ,满足 (mm 一 1)， 
x(K) 二 D<m* x(D)， 即 通过 计算 D/x(K) 获 得 mm， 如 果 这 个 值 是 小 数 ， 则 向 上 取 整 为 大 
于 该 分 数 的 第 一 个 整数 。 那 么 ， 作 业 K 的 前 mx 个 实例 与 间隔 L0， 了 D) 重 到 (如 图 8-7 所 示 ) 。 

可 以 看 到 作业 K 的 前 Gm 一 1) 个 实例 完全 在 间隔 L0，D) 内 ， 第 m 个 实例 有 部 分 重 释 。 
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注意 由 于 作业 K 的 所 有 实例 都 满足 它们 的 截止 期 ， 所 以 调度 o 为 作业 KK 的 每 个 实例 分 配 
7(K) 个 时 间 片 。 作 业 K 的 前 (m 一 1) 个 实例 的 每 一 个 完全 在 间隔 [0，D) 内 ， 因 此 它们 的 每 
一 个 对 ol0，D，K) 都 贡献 了 7K). 已 知 间隔 L0，D) 的 最 后 时 间 片 分 配给 了 作业 Je M 
于 作业 下 具有 比 作 业 J 丁 高 的 优先 级 ， 所 以 这 意味 着 在 时 间 (D 一 1)， 作 业 K 没有 就 续 ， 这 
说 明 没 有 时 间 (D 一 1) 前 给 它 对 应 的 实例 分 配 x(K) 个 时 间 片 。 这 说 明 作 业 K 的 第 m 个 实 
例 对 于 ol(0，D，K) 的 贡献 也 是 K). W, o0, D, K)==m* 7(K). 

现在 让 我 们 把 注意 力 集中 在 有 多 少 作业 K 的 实例 与 间隔 [ 工 ，T 十 D) 重 玲 。 假 设 作 业 
K 的 最 早 实例 在 时 间 开 到 达 ， 或 者 后 面 的 是 第 (2 十 1) 个 实例 : aK, BV<T<e(K, B+1). 
设 是 作业 K 的 第 (6 十 了 ) 个 实例 的 到 达 时 间 。 

一 般 地 ， 开 三 工 是 可 能 的 ， 作 业 K 的 第 b 个 实例 也 与 间隔 [T，T 十 Dj 重生 (如 图 8-7 
所 示 )。 通 过 选择 工 ， 我 们 知道 在 时 间 (T 一 1) ， 调 度 没 有 选择 优先 级 比 大 高 的 作业 ， 因 此 
没有 选择 作业 K 或 者 优先 级 比 作 业 天 -高 的 作业 。 这 种 情况 仅 当 作业 K 在 时 间 (T 一 1) 还 没 
有 就 绪 时 发 生 ， 这 意味 着 作业 K 的 第 5 个 实例 的 所 有 需求 在 时 间 (T 一 1) 之 前 得 到 满足 。 
这 说 明 即 使 第 5 个 实例 与 时 间 间 隔 [T，T 十 DD) 重 又 ， 它 也 没有 对 ol(T，T 十 D，K) 有 页 
MR. RRRB(T, T+D, K)=c(T’, TED; K). 

Sia LT’, T+DIRAA K 的 实例 数 可 以 通过 它 的 长 度 除 以 x(K)， 然 后 将 结 
果 向 上 取 整 为 下 一 个 整数 得 到 。 因 为 全 三 T， 所 以 间隔 LT' ，T 十 D) 的 长 度 不 能 超过 D, 
所 以 可 以 得 出 与 间隔 [T'，T 十 Dj 作业 K 重生 的 实例 数 至 多 为 m( 它 是 w 或 m 一 1， 这 取决 
FTT ZEK. AATA EA K 的 一 个 实例 仅 分 配 nCK) 个 时 间 片 ， 所 以 可 以 得 
出 oT', THD, K)<m- VK). 

我 们 已 经 建立 了 断言 : 对 于 每 个 优先 级 高 于 及 的 作业 K, oT, THD, K)<o(0, D, 
KK) 成 立 。 这 意味 着 CT) 六 0(0) 是 不 可 能 的 ， 从 而 导致 期 望 的 矛盾 。 m 

最 优 性 证 明 

现在 我 们 继续 证 明 只 要 存在 一 个 截止 期 满足 的 固定 优先 级 调度 ， 就 保证 单调 截止 期 策 
略 可 以 产生 一 个 截止 期 满足 的 调度 。 

定理 8. 5( 单 调 截止 期 策略 的 最 优 性 ) 给 定 一 个 周期 作业 模型 J， 如 果 存 在 一 个 7 的 优 
先 级 分 配 6， 使 得 对 应 的 固定 优先 级 调度 5 是 截止 期 满足 的 ， 那 么 7 的 每 个 单调 截止 期 调 
度 都 是 蕉 止 期 满足 的 。 

证 明 : 设 7 是 一 个 周期 作业 模型 。 设 p 是 7 的 优先 级 分 本 函数， 使 得 关于 o 的 固定 优 
先 级 调度 o 满足 所 有 的 截止 期 。 假 设 根据 优先 级 分 配 p7 了 7 中 作业 的 顺序 为 贱 ，jJ，…，J， 
HP n AT PLN Boe. J, 是 优先 级 最 高 的 作业 ， 几 是 优先 级 最 低 的 作业 。 

设 p 是 单调 截止 期 优先 级 分 配 。 我 们 想 要 证 明 关 于 分 配 o 的 固定 优先 级 调度 也 是 截止 
期 满足 的 。 如 果 根 据 o 分 配 的 优先 级 的 作业 顺序 等 于 根据 o 分 配 的 优先 级 的 作业 顺序 ， 则 
调度 = 也 是 关于 p “的 固定 优先 级 调度 ， 因 为 调度 所 做 的 选择 作业 取决 于 作业 的 相对 优先 级 
而 不 取决 于 优先 级 的 数值 。 因 此 ， 假 设 在 根据 分 配 p 按照 优先 级 降序 排列 的 作业 的 排序 与 
顺序 J ，J;，…，J ,不同 。 那 么 在 这 个 顺序 中 必须 存在 的 一 对 相 邻 的 作业 J A Jaris EE 
根据 分 配 o : p Sard >p' Jas 它们 的 相对 优先 级 是 不 同 的 。 由 于 分 配 p 是 单调 截止 期 的 ， 
所 以 得 出 作业 J 的 截止 期 不 早 于 作业 Jar 的 截止 期 6(J,) 宇 6(J。+1)。 

首先 ， 我 们 说 明 如 果 我 们 通过 交换 两 个 这 样 的 相 邻 作业 的 优先 级 来 修改 优先 级 分 配 p» 
那么 对 应 的 调度 仍然 是 截止 期 满足 的 。 也 就 是 说 ， 令 pi 是 优先 级 分 配 ， 使 得 对 于 56 二 a， 有 
aJ =p), 对 于 b>at+l, 有 mJ) Spaa A Rt 因此 ， 根据 分 配 
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具有 递减 优先 级 的 作业 的 顺序 是 Jis 2 

ee 我 们 想 要 证 明 调 度 o 是 截止 期 满足 的 。 
根据 定理 8. 4， 为 了 证 明 调 度 oi 满足 所 有 作业 的 所 有 实例 的 截止 期 证 明 它 满足 每 个 作业 
的 第 一 个 实例 的 截止 期 就 足够 了 。 

考虑 一 个 作业 Jn, b=1, 2, =, no & 及 是 作业 J 的 第 一 个 实例 根据 最 初 优先 级 分 
Bc o 在 截止 期 满足 的 调度 o 中 完成 它 的 执行 的 时 间 。 即 oD, —1) = J, Alo (0, Dy» Ji) 一 
n(J,)。 由 于 这 是 一 个 截止 期 满足 的 调度 ， 所 以 我 们 知道 D,<dCJ,) Bese. RNA HE HA, 
在 关于 修改 的 优先 分 配 pi 的 调度 aP, HFEA bAa, WA J 的 第 一 个 实例 在 时 间 D, 前 
完成 它 的 执行 ， 作 业 J 的 第 一 个 实例 在 时 间 D1 前 完成 它 的 执行 。 由 于 Ds SOC) Al 
6(J。+1) 二 6(J。)， 所 以 得 出 所 有 作业 的 第 一 个 实例 在 它们 的 截止 期 前 完成 它们 的 执行 ， 说 
明 调 度 o: 是 截止 期 满足 的 。 

为 了 说 明 作 业 J 的 第 一 个 实例 在 时 间 Di 前 完成 它 的 执行 ， 我 们 需要 证 明 : 

断言 : 调度 oi 在 时 间 间 隔 L0，D+1) 给 作业 J 分 配 ny(J) 个 时 间 肯 。 

让 我 们 用 DARE D.+。 为 了 证 明 这 个 断言 ， 依 据 优先 级 分 配 wm 我们 考虑 比 作业 J 优先 
级 高 的 作业 J 并 计算 在 区 间隔 L0，D) 调 度 a 给 作业 万 分 配 多 少 个 时 间 片 。 根 据 优 先 级 分 配 
po WR b<a MH 一 ac 十 1， 作 业 J 有 比 作 业 J 更 高 的 优先 级 。 我 们 分 别 讨论 这 两 种 情况 。 

e b<a: 在 调度 oc 和 oi 中 作业 J 有 比 作 业 J 更 高 的 优先 级 。 假 设 与 间隔 [0，D) 重 从 

的 作业 的 实例 数 为 mx， 也 就 是 说 ，m 是 D/x(J;) 向 上 取 整 得 到 的 整数 。 利 用 定理 
8. 4 的 证 明 中 使 用 的 类 似 推理 ， 我 们 可 以 得 出 oc0，D，J,) 二 mm，n(Js)， 即 作业 J, 
的 前 (一 1) 个 实例 的 每 个 都 完全 包含 在 间隔 L0，D) 内 ， 由 于 这 个 调度 满足 所 有 的 
截止 期 ， 所 以 它们 中 的 每 个 实例 得 到 的 yx(J) 个 时间 片 。 第 mx 个 实例 可 以 有 部 分 重 
到， 但 由 于 作业 J 的 优先 级 高 于 作业 J .41 的 优先 级 并 且 调 度 o 在 时 间 (D 一 1) 选 择 
作业 J。+1， 所 以 必须 在 时 间 D 前 给 作业 本 ;的 最 后 一 个 实例 分 配 所 有 它 的 需求 。 由 
于 m kL), SARL, DRAWER, HTLV o 不 可 能 给 作业 J 分 配 比 
m。7(J) 多 的 时 间 片 ， 我 们 可 以 得 出 a CO, D, J,<o(0, D, JORE. 

e b= 二 a 十 1: 现在 ， 作 业 J 在 调度 oi 中 有 比 作 业 J 高 的 优先 级 ， 但 在 调度 o 中 的 优先 
级 比 作 业 本 低 。 我 们 知道 在 调度 o 中， 作业 J 的 第 一 个 实例 在 时 间 D 前 完成 它 的 
执行 ， 因 为 调度 o 是 截止 期 满足 的 ，o(0，D，J,)= 二 nC(J,)。 这 也 意味 着 只 有 作业 Je 
的 第 一 个 实例 与 间隔 L0，D) 重 从， 所 以 可 以 得 出 在 调度 oj 中， 即使 作业 J, BA + 
对 较 高 的 优先 级 ， 它 也 不 能 为 作业 J 分 配 比 y(J,) 多 的 时 间 片 。 我 们 可 以 得 出 ， 
ar COs DTAS Ds J, ARIES 

因此 ， 我 们 已 经 证 明 对 于 比 在 修改 的 优先 级 分 配 o 中 的 作业 JA ER, Hal 
E oH, WE a 在 间隔 LO0，D) 没 有 给 作业 J 分 配 更 多 的 时 间 片 。 由 于 调度 o 在 时 间 D。 
前 且 D.<D 给 作业 J RJT, RUA oO, D, JA =J.) ERE o 
中 ， 在 间隔 L0，D) 中 ， 在 给 作业 J 分 配 7y(J,) 个 时 间 片 前 ， 将 不 选择 作业 J,(6>at+1). 
因此 ， 断 言 成 立 。 

对 于 bAa 情形 的 证 明 ， 与 在 调度 a 中 在 时 间 D; 前 作业 J 的 第 一 个 实例 完成 相 类 似 ， 
留 作 练习 。 

我 们 已 经 确定 通过 交换 相 邻 作业 对 的 优先 级 (由 原始 优先 级 分 配给 出 的 排序 ) 获 得 对 应 
于 的 优先 级 分 配 pi 的 调度 也 是 截止 期 满足 的 。 如 果 按 照 优先 级 分 配 mm 作业 的 顺序 与 根据 单 
调 截 止 期 分 配 o' 的 顺序 相等 ， 则 我 们 确定 我 们 的 目标 。 如 果 不 是 ,我 们 可 以 重复 这 个 观 
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点 : 在 分 配 wm 中 ， 根 据 分 配 wm 给 出 的 排序 我 们 可 以 找到 一 对 相 邻 的 作业 ， 但 是 根据 分 配 o 
它们 有 不 同 的 排序 ， 交 换 它们 的 优先 级 得 到 分 配 po WELEWA, KF pi 的 固定 优先 级 
调度 oi 的 截止 期 满足 性 意味 着 关于 分 配 p; 的 固定 优先 级 调度 o; 的 截止 期 满足 性 。 
为 了 完成 这 个 证 明 ， 我 们 需要 确定 作业 的 交换 不 会 永远 持续 下 去 。 为 了 理解 为 什么 只 
有 有 限 数量 的 交换 是 充分 的 ， 让 我 们 考虑 一 个 具体 例子 。 假 设 按 照 原始 优先 级 分 配 p， 作 
业 的 顺序 为 Jis Jos Jas J HERI AS CODA IED OE FER OP iC IT RE Ja Jis 
Jis Joo READE pc 开始， 我 们 可 以 交换 的 作业 JA J 的 顺序 ， 获 得 具有 作业 顺序 Ji, 
Jas Jos 本 1 的 优先 级 分 配 pi ; 然后 交换 作业 Jl Js BIBL FF 获得 具有 作业 顺序 Js» Jis 
Jas MERERI ps 最 后 交换 作业 J 和 的 顺序 ， 获 得 优先 级 分 配 p 。 从 这 个 例子 
可 以 看 出 ， 这 个 过 程 与 通过 交换 相 邻 乱 序 元 素 对 元 素 序列 进行 排序 的 算法 相同 ， 其 中 每 次 
交换 使 当前 序列 更 “类 似 ” 于 期 望 的 最 终 序列 。 
为 了 使 这 个 观点 更 准确 ， 我 们 定义 两 个 优先 级 分 配 p 和 p 之 间 的 距离 是 对 (a，6b) 的 数目 ， 
使 得 作业 J。 和 .的 优先 级 的 相对 顺序 在 两 个 分 配 中 是 不 同 的 。 这 样 的 距离 最 大 为 n(n 一 1)， 
其 中 是 作业 的 数量 。 通 过 交换 相 邻 作业 对 从 分 配 p 获得 分 配 pl 。 从 分 配 p 更 类 似 于 目标 
分 配 p'。 更 确切 地 说 ， 如 果 p 和 p' 之 间 的 距离 为 &: 则 分 配 p 和 p' 之 间 的 距离 不 能 超过 
(k 一 1): 如 果 通 过 交换 对 JAJ a MAD o 获得 分 配 pi， 则 贡献 给 p, 和 op 之 间距 离 的 对 实 
际 上 是 贡献 给 分 配 p 和 p' 之 间距 离 的 对 除了 交换 的 对 (a，a 十 1) 外 。 因 为 在 每 一 步 距 离 至 
少 减少 1， 所 以 可 以 得 出 在 分 配 变 为 p 前 至 多 有 n(n 一 1) 次 交换 。 
练习 8. 11: 在 定理 8. 5 的 证 明 中 ， 调 度 o 是 通过 交换 两 个 相 邻 作业 J。 和 .i 的 优先 级 获得 的 固定 优先 级 
调度 ， 满 足 6(J,) 宇 6(Jsr1)。 我 们 证 明了 在 这 个 调度 中 作业 J 第 一 个 实例 在 时 间 Dari 前 完 
成 ,其 中 对 于 每 个 6，，D, 是 作业 的 第 一 个 实例 在 初始 调度 o 中 完成 它 的 执行 的 时 间 。 通 过 
说 明 对 于 每 个 5za， 在 调度 a 中 作业 J; 的 第 一 个 实例 在 时 间 D; 前 完成 它 的 执行 来 证 明 调 度 
ci 是 截止 期 满足 的 。 


8.3.3 单调 速率 策略 的 可 调度 性 测试 * 


给 定 一 个 周期 作业 模型 7， 我们 如 何 检 查 单调 速率 或 者 单调 截止 期 调度 策略 是 否 能 产 
生 一 个 截止 期 满足 的 调度 呢 ? 一 种 可 能 的 办 法 是 明确 计算 调度 并 检查 它 是 否 满足 所 有 的 截 
止 期 。 定 理 8. 4 说 明 ， 只 需要 检查 所 有 作业 的 第 一 个 实例 的 截止 期 满足 性 ， 因 此 我 们 只 需 
要 计算 前 a 个 时 间 片 的 调度 ， 其 中 a 是 所 有 作业 的 截止 期 的 最 大 值 。 我 们 基于 利用 率 建立 
一 个 简单 的 条 件 ， 该 利用 率 保证 具有 隐 式 截止 期 的 周期 作业 模型 ， 如 果 利 用 率 低 于 某 个 立 
值 ， 那 么 单调 速率 策略 保证 可 以 生成 一 个 截止 期 满足 的 调度 。 我 们 知道 作业 模型 的 利用 率 
说 明了 执行 所 有 作业 需要 的 可 用 处 理 器 时 间 ， 也 很 容易 计算 。 我 们 也 知道 ， 只 要 利用 率 不 
超过 1，EDF 策略 保证 是 成 功 的 。 这 说 明 只 要 利用 率 不 超过 0. 69 单调 速率 策略 保证 是 成 
功 的 。 这 个 结果 对 实践 和 理论 都 很 重要 。 在 实践 中 ， 如 果 我 们 知道 处 理 器 时 间 的 总 需求 不 
是 大 高 (通常 低 于 69%)， 那 么 采用 单调 速率 策略 就 足够 了 ， 并且 具有 最 小 的 调度 开销 。 在 
理论 上 ， 用 于 建立 这 种 边界 的 技术 可 以 用 来 分 析 算 法 的 最 坏 情况 。 

分 析 两 个 作业 的 利用 率 

现在 ， 让 我 们 假设 具有 隐 式 截止 期 的 两 个 作业 。 根 据 单调 速率 策略 为 作业 记分 配 高 的 
优先 级 ， 为 作业 J 分 配 低 的 优先 级 。 设 o 表示 相应 的 固定 优先 级 单调 速率 调度 ，xti 和 zz 分 
别 是 两 个 作业 的 周期 假设 x 夺 xs。 设 加 入 是 两 个 作业 的 最 坏 执 行 时 间 。 这 个 作业 模型 
的 利用 率 可 以 用 下 式 计算 。 

U= m/m + m/m 
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我 们 的 目标 是 提出 一 个 数值 边界 B, 应 该 是 尽 可 能 的 高 ， 使 得 如 果 满 足 U<B 成 立 ， 
那么 就 可 以 保证 单调 速率 调度 a 满足 所 有 的 截止 期 。 为 此 ,我们 逐一 消除 上 述 表达 式 中 的 
4 个 参数 ， 并 确保 分 析 可 以 揭示 引起 单调 速率 策略 的 最 坏 情 况 场景 的 这 些 参 数 之 间 的 
关系 。 

消除 WCET 的 m 

与 分 析 中 的 第 一 步 一 样 ， 我 们 假设 已 有 参数 m, mM p, FEUER AT tie BER KB 
4 个 参数 的 约束 ， 根 据 这 3 个 固定 参数 确保 调度 是 截止 期 满足 的 。 

为 了 检查 截止 期 满足 性 ， 我 们 只 需要 检查 两 个 作业 的 第 一 个 实例 。 由 于 作业 J AA 
高 的 优先 级 ， 所 以 它 的 第 一 个 实例 获得 前 六 个 时 间 片 和 保证 满足 它 的 截止 期 (我 们 知道 根 
据 假 设 ， 对 每 一 作业 ， 它 的 WCET 不 能 超过 它 的 截止 期 ) 。 为 了 分 析 作 业 J 在 其 截止 期 
zs 前 获得 挛 个 时 间 片 的 条 件 ， 我 们 需要 考虑 在 间隔 [0，zx ] 内 执行 了 多 少 个 作业 万 的 实例 。 
& m Wikhm * 风声 zy 过 lm 十 1)，m， 即 x 是 由 xz/zi 向 上 取 整 得 到 的 整数 。 那 么 作业 J. AY 
前 x 个 实例 完全 在 [0，zxz) 内 。 

为 了 计算 作业 J 在 其 截止 期 前 作业 Je 执行 的 时 间 片 数 ， 存 在 两 种 情况 ， 分 别 如 
图 8-8 和 图 8-9 所 示 。 


0 Ti 27; m't (m+1) +x, 
图 8-8 分 析 两 个 作业 的 单调 速率 调度 策略 : 情况 (a) 


Tz 


0 T 2m m't (m+1) +2, 
图 8-9 分 析 两 个 作业 的 单调 速率 调度 策略 : 情况 (b) 


o 情况 (a) : MR me mtp <m, BAM 五 的 第 Gm 十 1) 个 实例 在 作业 J 的 第 一 个 实 
例 的 截止 期 x; 前 完成 它 的 执行 。 如 图 8-8 所 示 。 在 这 种 情况 下 ， 在 间隔 L0，ze ) 内 为 
第 一 个 作业 分 配 的 总 时 间 为 Gm 十 1)， mn。 给 作业 J 的 第 一 个 实例 分 配 x 一 Cm 十 1)。 
胃 个 时 间 片 。 因 此 ， 只 要 条 件 p< (mtl) e nh 成立， 调度 就 满足 截止 期 。 这 意 
味 着 单调 速率 策略 成 功 只 要 
U < m/m +r: — mt1). m] 

情况 (b) : WÈ m- m +m 2m» 那么 作业 万 的 第 (十 1) 个 实例 不 能 在 作业 J 的 第 
一 个 实例 的 截止 期 x; 前 完成 它 的 执行 。 在 这 种 情况 下 ， 只 有 当 作 业 JÆ 万 的 
第 (m 十 了) 个 实例 到 达 前 完成 执行 ， 作 业 J, 才 满足 它 的 截止 期 ， 如 图 8-9 所 示 。 在 
J 的 截止 期 前 分 配给 作业 J 的 最 大 时 间 片 数 是 m e C a 因此 ， 只 要 条 件 ma 
m。(xi 一 加 ) 成 立 ， 调 度 就 满足 截止 期 。 这 意味 着 ,只 要 下 面 的 条 件 成 立 ， 单 调 速 
率 策略 就 是 成 功 的 。 


U < m/m +m.» Cm — m) /re 
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因此 ， 在 每 种 情况 下 ， 我 们 获得 一 个 边界 B， 使 得 如 果 利 用 率 低 于 这 个 边界 ， 则 调度 
保证 是 截止 期 满足 的 。 这 个 边界 B 可 以 看 作 3 个 参数 mm. mA pM. TBA: 
if(m* m +m <m)thenm/m +r: — (mt+1)* mi/relsem/nt Lm: (a — m) ]/r 
消除 WCET 的 m 
FR E Rs eR B 遍历 p A A P BE AY E FERK IRS p: 如 果 利 用 率 
低 于 该 最 小 值 ， 则 我 们 保证 无 论 六 选择 什么 值 ， 利 用 率 都 小 于 期 望 的 边界 ， 因 此 调度 是 截 
止 期 满足 的 。 
Xf m + m Emp <m: ATA OL A: 
B= m/nm +m: —(m+1) © m]/r 
= 1+ p/m — (m+ 1) * m/m 
=1— m * (m+1—m/m)/m 
由 于 m<(m+1) e my， 所 以 (mx 十 1 一 xz/mi) 为 正 的 。 因 此 ， 对 于 参数 ri 和 xs 的 给 定 
fi. WA BM y MAM mR. Ak. 4p RA, BM), AAA ms m+ 
nm FT mm. mo 
Xt F m * A +m Sr HL 有 : 
B= p/m +m e. (m — m)/m 
= me* m/m + m/m aie iiia M/m 
RES m/n +m e (Az /Ni — m) /A 
由 于 m* mm, WA m TRER. BR, HTE mF x 的 给 定 值 ， 边 界 B 
的 值 随 wi: 增 大 而 增 大 。 因 此 ， 当 nh 取 最 小 值 时 ， 边 界 BA), AWA ms mtn em 
SF m—m* mo 
因此 ， 我 们 已 经 说 明 当 六 三 好 一 六 "了 时 ， 边 界 卫 最 小 。 在 第 二 种 情况 ， 用 这 个 值 代 
兰 B 的 表达 式 中 w:， 可 以 得 到 期 望 的 边界 B 是 一 个 关于 参数 x 和 zt 的 函数 。 
B=me Am/mt x — ms m) $ (m/m — m)/n 
我 们 想 选 择 参数 x 和 x 来 最 小 化 这 个 函数 。 值 得 注意 的 是 ，m 是 小 于 或 等 于 m/m A 
最 大 整数 。 设 zt/zi 为 mx 十 f， 其 中 fEL0，1) 是 这 个 比值 的 小 数 部 分 。 在 上 面 边界 值 B 的 
表达 中 用 m+ f RË m/m, 边 以 得 到 : 
B=m/(m+ f) + A=—m/(m+ f)) © f = (m+ f?)/(m+ f) 
计算 数值 边界 
我 们 已 经 将 期 望 的 边界 表示 为 两 个 参数 mx 和 了 的 函数 。 现 在 我 们 要 通过 参数 光 和 了 
来 求 边界 的 最 小 值 ， 其 中 m 是 正 整 数 ，f 是 区 间 [0，1) 中 的 分 数 。 
B= (m+ f+f /mt = 1+ (fF — f)/Cm+ f) 
HFO<f<1, MUS -f 总 是 负 的 ， 因 此 对 于 给 定 的 了 的 值 ， 边 界 B 的 值 随 着 m 
增 大 而 增 大 。 当 m 取 最 小 值 时 边界 B 的 值 是 最 小 值 。 需 要 注意 的 是 ， Bik m <m, Ale 
m 不 能 为 0。 这 说 明 m 最 小 的 可 能 值 是 1。 将 该 值 代入 边界 BRIAR, 48): 
B=(Q+/)/Q+f) 
这 也 就 是 说 ， 对 于 给 定 的 f， 它 是 两 个 周期 比值 的 小 数 部 分 ， 只 要 利用 率 不 超过 (1 十 
广 )/(1 十 1)， 该 调度 就 是 截止 期 满足 的 。 
分 析 的 最 后 一 步 是 最 小 化 关于 参数 f(0 三 f 二 1) 的 这 个 函数 。 为 此 ， 我 们 对 关于 的 
表达 式 B 求 微分 : 
dB/df = (2f/0+f)-—QA+ FMA F 
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= (f+2f-—D/at fy? 

X f+2f—-1=0 时 ，dB/df 为 0。 这 个 二 次 方程 有 两 个 根 ，f== 一 1 一 /2 和 了 二 一 1 十 
V2， 只 有 一 1 十 V2 在 [0，1) 中 时 。 因 此 ， 当 f= 一 1 十 V2 时 边界 B 是 最 小 的 。 在 表达 式 B 中 
替换 这 个 值 ， 得 到 : 

B= 口 十 (一 1 十 V2)2]/(1 一 1 十 V2) = 2/2 — 1) 
我 们 对 两 个 作业 的 情况 可 以 得 到 以 下 断言 : 
断言 : 对 于 具有 隐 式 截止 期 的 包含 两 个 作业 的 周期 作业 模型 ， 如 果 利 用 率 不 
超过 2(CV2 一 1)， 那 么 单调 速率 调度 保证 是 截止 期 满足 的 。 

注意 ，2(CV2 一 1) 一 0.828。 这 说 明 对 于 两 个 作业 ， 如 果 利 用 率 不 超过 0.828， 我 们 就 
知道 无 论 周 期 和 WCET 选择 什么 值 ， 单 调 速率 策略 都 可 行 的 。 

理解 两 个 作业 的 最 坏 执 行 时 间 

为 了 概述 两 个 作业 调度 边界 的 证 明 ， 单 调 速率 策略 的 最 坏 情 形 ， 也 就 是 利用 率 尽 可 能 
小 的 情形 ， 虽 然 由 此 产生 的 调度 只 勉强 是 截止 期 满 
足 的 ， 但 它 出 现在 : 1) 周期 x; 二 V2 > m; 2) WCET Tı 
m~ rimi 3)WCET m=m—mnit. J, 

如 图 8-10 显示 了 两 个 作业 的 关键 情形 。 设 作业 
万 的 周期 为 100， 而 作业 瑚 的 周期 为 141。 作 业 厂 。 A 508 A 
的 WCET 为 41， 而 作业 Jf) WCET 是 59。 可 以 观 PE TER 
A E T E O ee 
41/100 十 59/141， 约 为 0. 828, 

假如 我 们 增加 第 一 个 作业 的 WCET 为 422。 这 个 更 新 的 作业 模型 的 利用 率 是 42/100 十 
59/141， 大 约 是 0. 838， 它 超过 了 可 调度 性 测试 的 利用 率 。 可 以 看 到 ， 对 于 这 个 修改 模型 
的 单调 速率 调度 ， 第 二 个 作业 在 它 的 截止 期 前 只 得 到 了 57 个 时 间 片 ， 因 此 该 调度 不 是 截 
止 期 满足 的 。 

可 以 看 到 ， 我 们 计算 的 边界 是 截止 期 满足 的 充分 测试 。 可 能 会 发 生 具 有 两 个 作业 的 模 
型 的 利用 率 超过 边界 0. 828 ， 但 是 单调 速率 策略 产生 一 个 截止 期 满足 的 调度 。 这 种 情况 发 
生 在 作业 调度 模型 的 周期 和 WCET 的 具体 值 与 单调 速率 策略 的 最 坏 情况 不 相符 时 。 例 如 ， 
对 于 作业 模型 ， 作 业 万 的 周期 为 5，WCET 为 3; 作业 J 的 周期 为 3，WCET 为 1， 利 用 
率 为 0.93， 如 图 8-6 所 示 ， 单 调 速率 调度 满足 所 有 的 截止 期 。 


Ty 


n 个 作业 可 调度 性 测试 
可 以 把 对 两 个 作业 的 分 析 扩 展 到 具有 x 个 作业 的 作业 模型 。 我 们 只 说 明 分 析 揭 示 最 坏 
的 情况 。 假 设 个 作业 根据 单调 速率 策略 以 优先 级 的 降序 排列 为 三 ，J:，…，J,( 即 按照 


作业 周期 的 增 序 排列 )。 对 于 每 个 作业 J。， 我 们 用 x 表示 其 周期 (和 截止 期 )， 用 表示 其 
WCET。 那 么 ， 单 调 速 率 策略 的 最 坏 情 况 发 生 在 下 面 的 关系 成 立时 : 

Toy < MN MS pe i 

= | 


ee acs TS 


ee a a) = 2 NR — Ta 


Ie ee — tray ace "ify Se" 
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如 果 我 们 基于 这 些 参数 计算 利用 率 ， 我 们 得 到 边界 B, =n” — 1), 

当 n=3 的 情形 如 图 8-11 所 示 。WCET 和 周期 的 选择 要 满足 : 所 有 3 个 作业 的 第 一 个 
实例 在 第 一 个 作业 的 第 二 个 实例 到 达 前 
都 完成 执行 ， 第 一 个 作业 的 第 二 个 实例 
在 第 二 个 作业 第 二 个 实例 到 达 前 完成 执 
F, 第 二 个 作业 的 第 二 个 实例 在 第 三 个 
作业 的 第 二 个 实例 到 达 前 完成 执行 ， 第 
三 个 作业 的 第 三 个 实例 在 第 一 个 作业 的 
第 三 个 实例 到 达 前 完成 执行 。3 个 作业 的 
执行 周期 为 mis m Ml ms 3 个 作业 的 


m = 1.26 m 





图 8-11 3 个 作业 的 单调 速率 调度 策略 的 最 坏 情况 


Ta 一 1.260。rz 一 1.59。zl 
m =n — 7m = 0.26 e 
m = ni — nr = 0.33 +m 
ys = 29m — ms = 0.41 x 
B; = m/m + p/m + p/n = 0. 78 
下 面 的 定理 是 对 ?个 作业 的 边界 的 总 结 : 
定理 8. 6( 和 单调 速率 策略 的 可 调度 性 测试 ) 给 定 一 个 具有 隐 式 截止 期 的 包含 元 个 作业 
的 周期 作业 模型 ， 如 果 它 的 利用 率 不 超过 边界 B, 一 mn(2 一 1)， 那 么 每 个 单调 速率 调度 是 
截止 期 满足 的 。 a 
注意 ， 边 界 B, 随 着 nn 的 增 大 而 减 小 。 图 8-12 中 的 表 显 示 了 n=1, 2, =, 10) B, 的 
值 。 这 说 明 ， 例 如 ， 当 我 们 有 6 作业 时 ， 如 果 利 用 率 小 于 或 等 于 0.735， 那 么 我 们 就 能 保 
证 单调 速率 策略 产生 一 个 截止 期 满足 的 调度 。 


anal | sda dl S| 6 | 7 | s | 9 | 0 | 





,| T0828 | 0780 | 0.757 | 0743 | 0735 | 0.729 [0724 | 0.737 | 0718 | 
图 8-12 单调 速率 调度 策略 的 利用 率 边界 


最 后 ， 让 我 们 考虑 表达 式 n(2'" 一 1) 的 极限 。 这 个 极限 是 In 2，2 的 自然 对 数 ， 并 且 
等 于 0. 69。 也 就 是 说 ， 对 于 每 个 自然 数 2， 表 达 式 (2 一 1) 至 少 为 0.69。 这 说 明 : 
如 果 一 个 周期 作业 模型 的 利用 率 小 于 0. 69， 那么 单调 速率 调度 是 截止 期 满足 
的 。 
练习 8. 12: 考虑 一 个 周期 作业 模型 ， 它 包含 3 个 有 隐 式 截止 期 的 作业 : 作业 万 的 周期 为 4、WCET 为 1; 
作业 J: 的 周期 为 6、WCET 为 2; 作业 本 的 周期 为 8、WCET 为 3。 我 们 可 以 得 出 使 用 基于 
利用 率 的 可 调度 性 测试 单调 速率 策略 可 以 产生 截止 期 满足 的 调度 吗 ? 单调 速率 策略 可 以 产生 
堆 止 期 满足 的 调度 吗 ? 
练习 8. 13” : 7 是 一 个 周期 作业 模型 ，o 是 7 了 的 优先 级 分 配 ，o 是 了 7 关于 分 配 5 的 固定 优先 级 调度 。 请 证 
明 ， 如 果 对 于 每 个 作业 J 都 满足 以 下 条 件 ， 则 调度 = 是 截止 期 满足 的 : 
DSD A [WD/xK)) 1 K) 


KEJ sp K)>p(]) 
在 该 式 中 ， 对 于 有 理 数 Sf. [ 三 传 示 通 过 向 上 取 整 三 得 到 的 整数 ， 即 ， 它 是 大 于 或 等 于 上 的 
最 小 整数 。 
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参考 文献 说 明 


实时 系统 的 调度 算法 是 一 个 很 好 的 研究 主题 : 参见 文献 [SAA+04] 的 综述 。 本 章 所 述 
的 重要 成 果 一 一 单调 速率 调度 策略 的 最 优 性 和 分 析 ， 来 自 文献 Liu 和 LaylandLLL73]。 本 
章 中 的 介绍 基于 文献 [But97]( 也 可 参见 [Liu00])。 我 们 也 建议 读者 参考 文献 [FMP06， 
BDL* 11] 中 关于 作业 模型 的 形式 化 ， 使 用 计算 模型 的 可 调度 性 分 析 和 时 间 自 动机 的 可 达 性 
分 析 。 

我 们 只 是 简要 地 讨论 了 估计 作业 的 最 坏 执行 时 间 问 题 ， 这 也 是 一 个 可 以 使 用 多 种 理论 
方法 和 工具 进行 研究 的 问题 ( 见 LWEE 十 08] 中 的 综述 ) 。 

许多 操作 系统 都 支持 实时 调度 ( 见 LRS94] 和 [Kop00])。 - 
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在 第 6 章 中 ,我们 研究 了 物理 被 控 对 象 和 控制 器 的 连续 时 间 模 型 。 本 章 将 重点 转向 混 
成 系统 ， 混 成 系统 的 动态 性 由 随时 间 变 化 的 连续 演化 和 状态 的 离散 瞬时 更 新 组 成 。 事 实 
上 ， 有 关连 续 演化 和 离散 更 新 的 混合 的 时 间 进 程 模型 已 在 第 7 章 中 粗略 介绍 过 : 当 进程 在 
某 个 模式 等 待 时 ， 时 间 进 程 的 时 钟 变量 值 随 着 时 间 流 逝 而 增加 ; 在 模式 切换 中 ， 状 态 变量 
以 离散 方式 更 新 。 对 于 使 用 微分 和 代数 方程 描述 的 状态 变量 ， 混 成 系统 允许 使 用 更 通用 的 
连续 时 间 演 化 形式 。 这 样 的 模型 为 设计 和 分 析 集 成 了 计算 、 通 信和 物理 世界 控制 的 系统 提 
供 了 统一 框架 。 


9.1 混成 动态 模型 
混成 进程 的 计算 模型 可 以 看 作 第 7 章 研究 的 时 间 进 程 模型 的 泛 化 。 
9.1.1 混成 进程 


可 以 使 用 扩展 状态 机 描述 一 个 混成 进程 ， 扩 展 状态 机 包含 模式 和 模式 切换 。 每 个 进程 
包含 输入 变量 、 输 出 变量 和 状态 变量 ， 其 中 某 些 变量 定义 成 cont 类 型 。 定 义 为 cont 类 
型 的 变量 从 实数 中 (或 者 某 个 实数 的 区 间 ) 内 取 值 ， 并 且 当 过 程 在 某 个 模式 中 等 待 时 ， 随 着 
时 间 的 推移 变量 连续 更 新 。 模 式 切换 是 离散 的 、 瞬 间 发 生 的 。 通 常 ， 模 式 切换 由 状态 条 件 
和 输入 变量 决定 ， 模 式 切换 更 新 状态 和 输出 变量 ,描述 输入 动作 、 输 出 动作 或 者 内 部 动 
作 。 模 式 通 过 微分 和 代数 方程 来 描述 ， 微 分 和 代数 方程 定义 cont 类 型 的 状态 和 输出 变量 
如 何 演 变 。 男 外 ， 每 个 模式 使 用 定义 在 状态 变量 上 的 布尔 表达 式 描 述 一 个 约束 条 件 ， 该 约 
束 条 件 控 制 某 该 进程 处 于 该 模式 中 的 时 间 长 短 。 

开关 恒温 器 

作为 两 个 模式 之 间 动 态 系统 切换 的 例子 ， 考 虑 图 9-1 显示 的 一 个 简单 的 自 调整 恒温 模 
型 的 例子 。 人 恒温 器 Thermostat 有 两 个 模式 : off Mon. MERE 是 连续 时 间 变 量 。 


当 模式 为 on 时 ， 微 分 方程 全 = (70 一 T) 描 述 系统 的 动态 性 ， 其 中 是 一 个 常量 ， 根 据 
这 个 微分 方程 温度 连续 变化 。 注 意 这 个 动态 性 是 线性 的 ， 对 于 给 定 温度 的 一 个 初始 值 ， 存 
在 一 个 唯一 的 响应 信号 ， 它 捕获 温度 如 何 随 着 时 间 变 化 。 与 这 个 模式 有 关 约 束 (T70) 说 
明 只 有 在 这 个 约束 条 件 成 立时 进程 可 以 停留 在 这 个 模式 : 在 违反 这 个 约束 前 必须 将 模式 切 
换 到 模式 offEf。 条 件 (T 三 68) 保 证 模式 切换 到 off。 这 意味 着 在 温度 超过 68 时 ， 模 式 切 换 
随时 都 会 发 生 。 


(T < 62)? 







(T = 68)? 
91 两 个 模型 之 间 的 恒温 器 模型 切换 


在 模式 off， 微 分 方程 T= k 描述 温度 变化 的 动态 性 ， 其 中 是 一 个 常量 。 因 此 ， 
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在 当 恒温 器 处 于 off 模式 时 温度 随时 间 线 性 下 降 。 与 模式 off 相关 的 约束 (T 三 60) 说 明 该 
过 程 必须 在 温度 下 降 到 低 于 60 时 切换 到 模式 on. HM off 到 on 可 切换 相关 的 守卫 条 件 
(T<62) 说 明 在 温度 下 降 到 低 于 62 后 ， 模 式 切 换 随 时 可 以 发 生 。 

设 定 系统 的 初始 温度 为 T, 并 且 系 统 处 
于 off 模式 。 系 统 初始 温度 的 取 值 范围 为 
(60<T<70), K 9-2 显示 了 当 系 统 初始 温 
ET, =66, We Hit kh, =0. 6, kp =2 时 ， 恒温 
器 进程 可 能 的 执行 。 进 程 分 阶段 执行 : 在 
每 一 个 阶段 ， 系 统 的 模式 不 会 发 生 改 变 ， 
系统 的 温度 根据 当前 模式 的 微分 方程 作为 
时 间 的 连续 函数 而 改变 。 当 系统 模式 发 生 
切换 时 ， 状 态 不 连续 地 改变 。 在 这 个 模型 
中 ， 模 式 切 换 的 时 间 是 不 确定 的 ， 因 此 这 时 间 
个 模型 是 非 确定 性 模型 ， 即 使 固定 初始 温 
度 ， 该 过 程 也 有 许多 可 能 的 执行 。 

当 进 程 Thermostat 在 某 个 给 定 模式 停留 时 的 行为 可 以 使 用 第 6 章 介 绍 的 技术 进行 
分 析 。 如 果 过 程 在 时 刻 二 切换 到 模式 off， 此 时 温度 为 T" ， 那 么 直到 下 一 次 模式 切换 ， 
在 时 刻 t 的 温度 值 为 T* 一 k&,(t 一 t" ) 。 假 设 在 进入 该 状态 时 的 温度 工 " 至 少 为 62， 那 么 该 
进程 在 模式 of f 最 少 持续 (T 一 62)/k, 秒 ， 最 多 持续 (T" 一 60)/ks 秒 。 

如 果 系 统 在 时 刻 志 切换 到 模式 on， 此 时 温度 为 了 ， 那 么 直到 下 一 次 模式 切换 ， 系 统 
在 时 刻 t 的 温度 值 为 70 一 (70 一 T" eh?  。 假 设 初始 温度 T 不 超过 68, 那么 系统 在 模 
A on 最 少 持续 In(2/(70 一 T* )/k 秒 。 根 据 该 式 当 温度 的 值 不 超过 70 时 ， 系 统 可 以 无 限 
期 地 处 于 该 模式 。 

反弹 球 

假设 一 个 小 球 从 初始 高 度 玉 = 部 以 初 
速度 二 v= 二 wv 自由 落下 。 动 态 进程 满足 
微分 方程 , o=—-gHhthg 表示 重力 加 速 
度 。 当 小 球 落 在 地 上 时 ， 换 句 话说 ， 当 
h=O 时 ， 小 球 的 速度 发 生 不 连续 的 改变 。 
这 个 离散 变化 可 以 描述 成 模型 切换 ， 由 方 
FE v :一 一 ar 给 出 。 假 设 小 球 落 在 地 上 的 
碰撞 是 没有 弹性 的 ， 小 球 的 速度 以 因子 a 
递减 ，a 是 一 个 常量 且 取 值 范围 为 0 二 a 一 
1。 如 图 9-3 所 示 ， 将 上 述 行为 建 模 成 混成 
进程 BouncingBall。 它 只 有 一 个 模式 和 
两 个 cont 类 型 的 状态 变量 。 当 满足 条 件 
h=0 时 ， 模 式 发 生 切 换 ， 该 过 程 发 出 输出 
事件 bump， 给 反应 速度 方向 变化 的 变量 : ; 
赋值 。 不 变量 约束 (h 宇 0) 保 证 当 高 度 h=0 as Mi ES 2 25°35 35 4 45 5 
时 ， 执 行 模式 切换 。 9-4 展示 了 进程 时 间 Cs) 

Bouncing Ball 的 执行 ， 其 中 初速 度 由 一 图 9-4 混成 进程 BouncingBall 的 执行 





图 9-2 ”过程 Thermostat 的 可 能 的 执行 


(h=0) — 
bump!; v := -av 
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0， 初始 高 度 有 二 5m， 重 力 加 速度 g 一 9. 8m/S ， 阻 尼 系 数 a 二 0. 8。 

注意 捕获 状态 连续 时 间 演 化 的 模型 是 一 个 二 维 线性 系统 : 对 于 每 一 个 状态 变量 ， 它 随 
时 间 的 变化 率 是 由 状态 变量 的 线性 函数 给 出 的 。 然 而 ， 由 于 在 离散 模式 切换 过 程 中 速度 的 
不 连续 更 新 ， 时 间 i 状态 变量 的 值 不 能 表示 成 初始 状态 的 好 的 闭合 式 函 数 。 

形式 化 模型 

我 们 沿用 时 间 进 程 的 形式 化 模型 来 定义 混成 进程 的 形式 化 模型 。 混 成 进程 是 由 异步 过 
程 组 成 ， 而 异步 过 程 是 通过 它 的 输入 通道 、 输 出 通道 、 状 态 变 量 、 初 始 化 、 输 入 任务 、 输 
出 任务 和 内 部 任务 来 定义 的 。 输 入 、 输 出 和 内 部 动作 定位 为 异步 过 程 中 的 一 种 情况 ， 可 以 
离散 地 改变 任何 变量 的 值 。 变 量 可 以 定义 为 cont 类 型 ， 表 示 这 个 变量 可 以 随 着 时 间 连 续 
变化 。 不 是 定义 为 cont 类 型 的 变量 只 能 离散 地 更 新 ， 我们 称 这 类 变量 为 离散 变量 。 

为 了 执行 持续 时 间 为 6 的 时 间 动 作 ， 对 于 每 一 个 连续 更 新 的 输入 变量 x， 我 们 需要 一 
个 连续 信号 u KAAL, JERA u WE. 在 连续 时 间 构 件 中 ， 连 续 时 间 演 化 由 实 值 表达 
式 凡 和 天 来 描述 ， 对 于 每 个 连续 更 新 的 输出 变量 y 和 每 个 连续 更 新 的 状态 变量 x。 每 个 
表达 式 都 是 一 个 定义 在 连续 更 新 的 输 大 变量 和 状态 变量 上 的 表达 式 。 在 时 间 ¢, cont 类 型 
的 输出 变量 y 的 值 由 时 间 z 使 用 输入 变量 和 状态 变量 的 值 对 表示 式 h, 进行 计算 得 到 。 连 续 
更 新 的 状态 变量 x 的 信号 应 该 是 一 个 微分 函数 ， 这 个 微分 函数 在 时 间 上 的 变化 率 等 于 使 用 
时 刻 t 状态 变量 和 输入 变量 的 值 对 f; 进行 计算 的 值 。 注 意 离散 输入 和 离散 输出 变量 在 一 
个 时 间 动 作 中 是 不 相关 的 ， 离 散 状 态 变 量 的 值 在 一 个 时 间 动 作 中 是 保持 不 变 的 。 这 些 规则 
定义 了 在 持续 时 间 [0” 引 连续 更 新 的 输出 变量 的 状态 信号 和 输出 信号 。 如 果 用 于 定义 动态 
性 的 表达 式 h, 和 f. 是 利 普 希 蒋 连 续 的 (Lipschitz-continuous)， 那 么 在 一 个 时 间 动 作 中 对 
应 于 给 定 连续 输入 信号 的 状态 和 输出 信号 是 唯一 定义 的 。 连 续 时 间 不 变量 是 一 个 关于 状态 
变量 的 布尔 表达 式 ， 要 求 在 时 间 动 作 中 的 每 个 时 间 实 例 状态 信号 满足 这 个 不 变量 。 在 持续 
时 间 6 的 时 间 动 作 中 ， 与 在 动态 模型 中 的 情况 一 样 ， 该 进程 和 它 的 环境 随 连 续 更 新 的 变量 
的 演化 而 同步 ， 并 且 在 该 段 持续 时 间 内 不 执行 离散 动作 。 

让 我 们 再 看 看 图 9-1 中 的 进程 Thermostat， 假 设 这 个 过 程 的 输出 是 温度 。 那 么 对 应 
于 状态 机 的 混成 进程 应 该 包含 以 下 的 构件 : 
ERAMATE., 
e 它 包 含 一 个 cont RH WMH T. 
e 它 包含 一 个 枚 举 类 型 离散 状态 变量 mode, mode 的 取 值 为 {off，on}， 和 一 个 

cont 类 型 的 状态 变量 T。 
e 变量 mode HMMA off. 本 的 初始 值 是 60ST<70 中 的 任意 一 个 值 。 
© 它 没有 输出 任务 ， 这 意味 着 在 离散 动作 中 不 传输 温度 的 值 。 
它 有 两 个 对 应 于 两 个 模式 切换 的 内 部 任务 : 一 个 任务 是 守卫 条 件 (mode 王 off 人 AT 入 62) 
和 更 新 mode :二 on; 男 一 个 任务 是 守卫 条 件 (mode 二 on 人 7T 宇 68) 和 更 新 mode :一 off。 
e 定义 输出 变量 了 的 值 的 表达 式 等 于 状态 变量 了 T。 
定义 状态 变量 工 的 导数 的 表达 式 以 下 条 件 表 述 式 给 出 : 
if(mode=off)then—k, elsek;(70—T) 
e 连续 时 间 不 变量 CI 由 以 下 表达 式 给 出 : 
(mode= off)—>(T260) ] A [ (mode= on) >(TX70) | 

形式 化 定义 总 结 如 下 。 


384 


238 RIF 








混成 进程 

混成 进程 HP 包括 : 1) 包含 cont 类 型 输入 、 输 出 和 状态 变量 的 异步 进程 ; 2) 连 
续 时 间 不 变量 CI，CI 是 定义 在 状态 变量 S 上 的 布尔 表达 式 ; 3) 对 每 一 个 cont 类 型 的 
输出 变量 >， 都 有 定义 在 cont 类 型 的 状态 和 输入 变量 上 的 实 值 表达 式 Ay; 4) 对 于 每 
一 个 cont 类 型 的 状态 变量 xz， 都 有 定义 在 cont 类 型 的 状态 和 输入 变量 上 的 实 值 表 达 
式 feo WARMER HP 的 输入 、 输 出 、 状 态 、 初 始 状态 、 内 部 动作 、 输 入 动作 和 输出 动 
作 与 异步 进程 中 的 是 类 似 的 。 给 定 一 个 状态 ;s、 一 个 实 值 时 间 O>0, ZELO, OILS 
个 cont 类 型 的 输入 变量 MATES u, PERE HP 的 对 应 时 间 动 作 是 状态 变量 的 微分 
状态 信号 S 和 在 [0，6] 上 cont 类 型 的 每 个 输出 变量 y 的 输出 信号 了 >， 使 得 : 1) 对 每 个 
状态 变量 x, Z(0)=s(ax); 2) 对 每 个 离散 状态 变量 xz 和 时 间 OSt<d, F(0)=s(x); 3) 
对 每 个 cont 类 型 的 输出 变量 y 和 时 间 0 二 :8 AIA COA SO, VOWS F hy 
的 值 ，4) 对 于 每 个 cont 类 型 的 状态 变量 x 和 时 间 O<e<8, FAA we) A SQ) 时 间 导 
数 (d/dt)T(t) 等 于 fe 的 值 ; D 对 于 所 有 的 0 二: 二 3， 状态 变量 的 值 SC 在 时 间 上 满足 
连续 时 间 不 变量 CI。 


执行 

混成 进程 的 执行 从 初始 状态 开始 。 在 每 一 步 ， 执 行内 部 、 输 入 、 输 出 或 者 时 间 动 作 的 
一 项 。 例 如 ， 图 9-2 中 的 进程 Thermostat 的 执行 对 应 于 交替 的 时 间 和 内 部 动作 的 执行 
序列 : 





25 E 3,1 € 
(off,66) —~ (off,61) —— (on,61) —— (on, 69. 02) 一 一 > 
7.6 € 
Coff 69.02) ——> (o£ £,60. 22) —> (on 60. 22) son, 69. 9) 


(oft 69.9 ~ koft ela am Comebl,,7).< Re 2y 
在 每 一 个 时 间 动 作 中 ， 混 成 进程 连续 输出 温度 的 值 。 例 如 ， 在 持续 时 间 2.5 的 第 一 个 
时 间 动 作 中 ， 温 度 信号 由 T(z) 二 66 一 2t 定义 ， 而 在 持续 时 间 3.7 的 第 二 个 时 间 动 作 中 ， 
温度 信号 由 70 一 9e "SE. 
请 注意 ， 离 散 和 时 间 动 作 在 执行 过 程 中 不 需要 严格 交替 : 两 个 时 间 动 作 可 以 连续 出 
现 ， 两 个 离 期 动作 也 是 连续 出 现 的 。 尤 其 是 ， 在 上 述 执行 中 持续 时 间 2.5 的 第 一 个 时 间 动 
作 可 以 分 解 为 下 列 时 间 动 作 : 


CoE LOPE Godt iG) (ot a 
如 果 有 一 个 结束 于 状态 s 的 执行 ， 那 么 混成 进程 的 状态 s 是 可 达 的 。 给 定 定义 在 状态 

变量 上 的 混成 进程 HP 和 属性 wg， 如 果 HP 的 每 个 可 达 状 态 都 满足 属性 gp， 那么 称 属性 o 

是 HP 的 不 变量 。 例 如 ， 属 性 60<T<70 就 是 进程 Thermostat 的 一 个 不 变量 。 

练习 9, 1: 列 出 图 9-3 的 反弹 球 模型 的 形式 化 混成 进程 的 所 有 Y 
构件 。 假 设 混成 进程 的 输出 是 离散 碰撞 时 间 和 连 r (6,8) 
续 更 新 高 度 。 - eee 

练习 9.2: 在 这 个 问题 中 ， 我 们 想 要 构建 台球 碰撞 运动 轨迹 的 
混成 系统 模型 (如 图 9-5) 所 示 。 台 球 桌 长 Z 个 单位 ， 
宽 瑟 个 单位 ， 球 最 初 由 位 置 (zo，y ) 以 速度 和 角 
BO hee. “GRAS X MRAM Wai. fe Y 轴 
方向 上 的 速度 发 生 反 转 ， X 轴 方 向 上 的 速度 保持 图 9-5 台球 的 运动 轨迹 





(2 0) X 
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不 变 。 同 样 ， 当 球 与 Y 轴 平行 的 边 碰撞 时 ， 在 X 轴 方 向 上 的 速度 发 生 反 转 , Y 轴 方 向 上 的 速 
度 保 持 不 变 。 因 此 ， 我们 完全 忽略 摩擦 和 碰撞 影响 。 当 球 到 达 台 球 桌 的 任何 一 个 拐角 点 时 ， 
球 停止 运动 。 请 描述 与 上 述 要 求 相 符合 的 混成 状态 机 。 
练习 9.3" :; 考虑 一 个 在 二 维 XY 坐标 系 第 一 象限 活动 移动 的 机 器 人 。 机 器 人 的 初始 位 置 在 原点 ， 且 机 器 
人 是 静止 的 。 给 机 器 人 的 输入 命令 包含 机 器 人 要 去 的 目标 位 置 。 假 设 没 有 任何 障碍 物 。 机 器 
人 以 6m/s 的 速度 沿 立轴 方向 运动 ， 以 8m/s 的 速度 沿 Y 轴 运动 ， 或 以 5m/s 的 速度 沿 其 他 
方向 运动 。 机 器 人 计划 用 最 短 的 时 间 到 达 指 定 的 位 置 。 一 旦 机 器 人 到 达 指 定位 置 时 ， 就 在 那 
里 等 候 接受 另 一 个 输入 命令 以 便 运 动 到 新 的 位 置 并 重复 上 述 动作 。 请 构建 描述 该 机 器 人 行为 
的 混成 进程 (使 用 扩展 状态 机 概念 )。 清 楚 说 明 输 入 变量 以 及 它们 的 类 型 。 为 了 解决 这 个 问 
题 ， 你 可 以 不 考虑 机 器 人 速度 变化 的 时 间 ( 也 就 是 说 ， 机 器 人 可 以 瞬间 (如 0 一 5) 改 变 它 的 
速度 )。 


9. 1.2 进程 组 合 


混成 进程 可 以 使 用 方 框图 组 合 在 一 起 。 如 实例 化 、 变 量 重 命名 和 输出 隐藏 等 操作 是 通 
常 的 组 合 方式 定义 。 为 了 组 合 两 个 混成 进程 ， 我 们 使 用 异步 进程 的 组 合 操作 来 组 合 对 应 的 
异步 过 程 ， 并 且 在 时 间 动 作 中 将 动态 进程 组 合 起 来 作为 连续 时 间 构 件 的 情况 。 因 此 ， 假设 
两 个 混成 进程 的 状态 变量 是 不 相交 的 、 输 出 变量 是 不 相交 的 并 且 两 个 连续 更 新 的 公用 的 输 
入/ 输出 变量 之 间 没 有 循环 等 待 依赖 ， 那 么 两 个 混成 进程 是 兼容 的 并 且 是 可 以 组 合 的 。 组 
合 进程 的 连续 时 间 不 变量 是 简单 地 将 构件 进程 的 连续 时 间 不 变量 连接 起 来 。 因 此 ， 组合 进 
程 的 离散 动作 是 通过 构件 进程 的 离散 动作 的 异步 组 合 得 到 ， 组 合 进程 的 时 间 动 作 通过 构件 
进程 的 时 间 动 作 的 同步 组 合 得 到 的 。 特 别 地 ， 只 有 当 两 个 构件 都 在 持续 时 间 $ 上 持续 变化 
而 不 发 生 中 断 离散 动作 时 ， 持 续 时 间 为 6 的 时 间 动 作 才 可 能 在 组 合 进程 中 。 

为 了 详细 阐述 进程 组 合 ， 我 们 介绍 一 个 双 控 制 棒 的 核反应 堆 模 型 。 反 应 堆 和 控制 器 分 
别 建 模 为 混成 进程 ReactorPlant 和 ReactorControl。 两 个 混成 进程 的 交互 关系 如 
图 9-6 所 示 。 进 程 ReactorPlant 的 输出 是 连续 更 新 的 变量 z， 它 记录 反应 堆 的 温度 ， 控 
制 器 监控 这 个 度量 。 进 程 ReactorControl 的 输出 是 事件 变量 u, u 可 以 是 以 下 4 个 核 反 
应 堆 的 控制 指令 的 其 中 一 个 : add, (插入 第 一 根 控制 棒 的 控制 指令 )、removei (移出 第 一 
根 控制 棒 的 控制 指令 ) ada ( 捅 人 第 二 根 控制 棒 的 控制 指令 )、zemoves: (移出 第 二 根 控制 
棒 的 控制 指令 ) 。 


cont x 


{add,, add,, remove,, remove,} u 
图 9-6 反应 堆 模 型 的 方 框图 


被 控 对 象 模型 对 应 的 混成 进程 如 图 9-7 所 示 。 混 成 进程 拥有 3 个 模式 ，NoRod、Rod]l 
和 Rod2 分 别 对 应 于 反应 堆 中 没有 控制 棒 、 核 反应 堆 中 的 第 一 个 控制 棒 和 反应 堆 中 的 第 二 
个 控制 棒 。 在 初始 情况 下 ， 温 度 为 510C ， 反 应 堆 中 没有 控制 棒 。 温 度 的 动态 变化 可 以 通 
过 微分 方程 x 二 0.1z 一 50 来 反映 。 当 控制 器 发 出 事件 add 后， 被 控 对 象 切换 到 模式 
Rodl1， 控 制 棒 有 阻尼 效应 ， 它 将 温度 的 递增 速度 降下 来 ， 它 的 动态 性 可 以 通过 微分 方程 
工 二 0. 1z 一 56 来 反映 。 当 接收 到 命令 removel 时 ， 被 控 对 象 返 回 到 模式 NoRod。 模 式 
Rod2 是 类 似 的 ， 除 了 第 二 个 控制 棒 根 据 微分 方程 工 =0.1z 一 60 给 出 的 动态 性 产生 强 阻 
尼 处 。 
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u? remove, 
NoRod 
x=0.1x - 50 

u? remove, 


Rod2 
x=0.1x- 60 


图 9-7 ”反应堆 被 控 对 象 的 混成 模型 


被 控 对 象 的 控制 器 如 图 9-8 所 示 。 当 移 除 某 个 控制 棒 时 ， 它 在 c 时 间 单 位 内 不 能 重新 
插 和 人 反应堆 。 为 了 刻画 这 个 限制 ， 我 们 引入 两 个 变量 y, 和 y,。y 和 yo 在 任何 模式 下 连续 
更 新 的 变化 率 都 为 1， 因 此 它们 与 时 间 模 型 的 时 钟 变量 是 一 样 的 。 最 初 ， 时 钟 yi =c 并 
且 每 当 第 一 个 控制 棒 移 出 时 y, 重 置 为 0， 只 有 当时 钟 变量 y 至 少 等 于 c 时， 控制 器 才 发 
出 输出 add 。 这 就 保证 了 事件 remove; 指 令 和 其 后 的 add. 之 间 的 延迟 至 少 为 c 个 时 间 单 
位 。 变 量 % 也 类 似 地 更 新 并 保证 事件 remove; 指 令 和 其 后 的 add: 之 间 的 延迟 至 少 为 “个 
时 间 单 位 。 












(x = 550 Ay, > c Ay, <0) u !add, 


(x < 510) + u! remove); yı :=0 
VRC; Y= C 
(x = 550 A y, > c)—> u! add2 
(x < 510)— u! remove,; y, := 0 Ra 
j =). =1 
x = 510 






图 9-8 反应 堆 控 制 器 的 混成 模型 


在 初始 情况 下 ， 控 制 器 处 于 NoRod 模式 。 连 续 时 间 不 变量 (zx 三 550) 保 证 当 被 控 对 象 
温度 上 升 到 550C 时 触发 模式 切换 。 注 意 在 本 例 中 ， 变 量 z 的 更 新 由 进程 ReactorPlant 
控制 ， 进 程 ReactorPlant 说 明 变 量 如 何 转变 的 微分 方程 。 进 程 ReactorControl W 
控 变 量 的 变化 ， 它 通过 关于 x 的 连续 时 间 不 变量 来 约束 时 间 动 作 的 持续 时 间 。 当 温度 达到 
550C 时 ， 根 据 时 钟 变量 y, 和 y 的 值 ， 控 制 器 过 程 选择 通过 发 出 输出 adq; 来 选择 插入 第 
一 根 控制 棒 或 者 通过 发 出 输出 add: 来 插入 第 二 根 控 制 棒 。 如 果 两 个 选择 都 可 行 ， 则 控制 
器 优先 选择 具有 更 强 阻 尼 效 应 的 第 二 根 控 制 棒 。 只 要 温度 高 于 510C ， 控 制 器 进程 保持 在 
模式 Rodi 或 者 Rod2， 如 果 温 度 低 于 510"C ， 那 么 通过 发 出 命令 移 除 对 应 的 控制 棒 ， 控 制 
器 过 程 切换 回 模式 NoRod。 

当 反 应 堆 处 于 NoRod 模式 时 ， 如 果 温 度 升 高 到 550°C, FFA PPR y 和 y; 均 小 于 
c， 那 么 禁止 控制 动作 add, 和 add: ， 反 应 推 的 温度 可 能 上 升 到 一 个 不 可 接受 的 温度 ， 引 发 
报警 。 形 式 化 的 分 析 可 以 说 明 参 数 c 的 取 值 范围 ， 使 得 上 述 引 发 警报 的 情况 不 会 发 生 。 
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练习 9. 4: 考虑 混成 进程 ReactorPlant 和 ReactorControl 的 组 合 。 使 用 模 似 工具 (如 MATLAB) 
说 明 这 个 系统 的 执行 ， 参 数 c 的 值 可 以 是 10、20、30、40、50 和 60。 


9.1.3 FEITA 


反弹 球 的 运行 

让 我 们 再 来 回顾 图 9-3 中 的 对 应 于 弹 球 的 混成 进程 BouncingBall。 假设 初 始 速 度 
vi 二 0， 那 么 在 第 一 次 碰撞 前 ， 高 度 的 变化 可 以 用 h(t 二 ho 一 gs/2) 来 表示 。 模 式 切 换 的 守 
卫 条 件 (h 二 0) 在 时 间 为 6 二 V2ho/g 时 成 立 。 第 一 个 时 间 动 作 就 是 持续 时 间 为 6 的 小 球 运 
动 ， 在 这 个 动作 中 ， 小 球 的 高 度 由 ho 降 到 0， 小 球 的 速度 由 0 到 一 ,其 中 二 g 二 
V2ghs。 在 这 个 实例 中 ， 执 行 离散 输出 动作 ， 发 出 事件 bump， 速 度 改变 方向 并 且 它 的 大 
小 减 小 a 信 。 因 此 ， 新 的 速度 vw 二 av;。 从 小 球 第 一 次 碰撞 直到 第 二 次 碰撞 ， 在 时 间 动 作 
中 小 球 的 高 度 由 表达 式 (1) 二 vt 一 gz/2 给 出 ， 小 球 的 速度 由 表达 式 TO) =v, — gt 给 出 。 
持续 时 间 为 二 2v,/g 的 时 间 动 作 捕 获 对 应 于 小 球 抛物 线 运 动 的 反弹 ， 在 这 个 时 间 动 作 的 
最 后 ， 小 球 的 高 度 又 变 成 0， 小 球 的 速度 变 成 一 v,。 作 为 碰撞 的 结果 ， 小 球 的 速度 更 新 为 
v4 三 avs 二 a*wi， 然 后 小 球 重 复 上 述 的 过 程 继续 运动 。 

假如 我 们 关注 一 个 连续 的 时 间 动 作 序列 变 为 单个 时 间 动 作 ， 那 么 反弹 球 模 型 可 以 描述 
为 下 述 无 限 执行 : 

ĝi bump! oe bump! 03 
(haus oe iO 0) ——> (05 = v2). 0 > a0 

其 中 ， 对 于 每 个 i， v =avj,=a'v,, RAT ra =2041/g=2a'v,/g. 在 & 次 碰撞 后 ， 小 球 
的 速度 是 a*v;。 由 于 a 二 1， 所 以 这 个 序列 收敛 于 0。 同样 ， 对 应 于 小 球 连续 反弹 的 时 间 动 
作 的 持续 时 间 序 列 5 ， 刘 … 也 是 递减 的 ,收敛 于 0。 然 而 ， 在 小 球 的 无 限 执行 中 ， 没 有 点 
是 静止 的 ， 总 是 可 能 再 一 次 弹 起 。 反 弹 球 的 归纳 推理 得 出 了 一 个 错误 的 结论 ， 小 球 永远 都 
不 会 停止 下 来 。 

奇 诺 悖 论 

几 个 世纪 之 前 ， 和 希腊 的 哲学 家 就 注意 到 了 反弹 球 的 现象 ， 这 就 是 著名 的 奇 诺 悖 论 。 这 
个 问题 最 初 用 来 分 析 龟 免 赛 跑 ， 乌 龟 在 开 跑 时 取得 了 领先 。 假 设 乌龟 领先 兔子 di 米 。 在 
第 一 回合 ， 当 兔 子 跑 了 di 米 ， 乌龟 也 向 前 移动 了 dz Ks 其 中 d:<d;; 在 第 二 回合 ， 兔子 
追 上 了 落后 的 d; 米 ， 而 乌龟 也 癌 前 移动 了 ds 米 ， 并 且 4d; 二 d,。 基 于 归纳 推理 的 思想 ， 对 
于 每 一 个 自然 数 n， 在 回合 后 ， 乌 包 都 会 领先 兔子 一 段 距离 (这 段 距离 不 等 于 0)， 那 么 
兔子 将 永远 追 不 上 乌龟 的 脚步 。 这 个 矛盾 的 源头 起 源 于 事实 上 我 们 分 析 模 型 运行 的 时 间 并 不 
是 在 整个 时 间 周 期 内 ， 而 有 穷 的 时 间 周 期 并 不 能 随 着 时 间 地 推进 充分 地 描述 系统 的 状态 。 

整个 执行 过 程 的 时 间 消 耗 应 该 等 于 所 有 时 间 动 作 的 持续 时 间 的 和 。 在 反弹 球 中 ， 这 个 
和 是 》)6; ， 而 序列 9 ， 昌 … 收 敛 于 0， 这 个 和 的 边界 是 常数 。 在 上 面 讨论 的 ww 中 持续 


时 间 O, 和 速度 vw; 的 表达 式 ， 并 使 用 几何 序列 pe 一 a/(L 一 ca) ， 我 们 可 以 计算 常数 天 的 
表达 式 : 
Ža = /2gh,(1+a)/G —a) 


因此 ， 虽 然 该 执 包含 了 无 穷 多 个 输出 和 时 间 动 作 ， 但 它 没有 描述 在 时 间 K 发 生 的 事 
情 。 在 现实 中 ， 小 球 在 时 间 K 可 能 在 地 面 上 是 静止 的 ， 而 反弹 球 的 执行 永远 都 不 会 到 达 
时 间 天。 
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奇 诺 执行 和 奇 诺 状态 

如 果 混 成 进程 HP 的 无 穷 执 行 中 的 所 有 时 间 动 作 的 持续 时 间 的 和 受 限 于 一 个 常数 边 
界 ， 那 么 这 个 执行 称 为 奇 诺 执行 。 因 此 ， 一 个 非 奇 诺 执 行 的 执行 时 间 的 和 必然 是 发 散 的 。 
奇 诺 执行 是 一 个 人 为 的 数学 模型 ， 使 用 奇 诺 执行 证 明 属 性 将 导致 错误 的 结论 。 | 

在 反弹 球 模型 中 ， 从 初始 状态 ， 每 一 个 可 能 的 无 限 执行 都 是 一 个 奇 诺 执行 。 这 样 的 状 
态 称 为 奇 诺 状态 。 这 有 点 像 我 们 在 第 4 章 中 讨论 的 死 锁 状态 。 在 一 个 死 锁 状态 中 ， 没 有 使 
能 的 动作 ， 因 此 不 能 继续 执行 一 步 。 在 奇 诺 状态 中 ， 无 法 产生 一 个 时 间 无 限 递增 的 无 限 
执行 。 

注意 ， 存 在 从 一 个 状态 开始 的 奇 诺 执行 并 不 意味 着 这 个 状态 是 一 个 奇 诺 状态 。 举 例 来 
说 ， 考 虑 图 9-1 中 的 进程 Thermostat 的 初始 状态 Coff，66)。 第 一 个 时 间 动 作 的 持续 时 
间 是 $1 二 0.5， 第 二 个 时 间 动 作 的 持续 时 间 是 6 二 0.25， 重 复 这 个 模式 : 第 i 个 进程 的 持 
续 时 间 是 1/2。 这 是 一 个 无 限 执行 ， 其 中 所 有 时 间 动 作 的 持续 时 间 的 和 的 边界 为 1。 因 此 ， 

390] “这 个 执行 是 一 个 奇 诺 执行 。 然 而 ， 它 的 初始 状态 不 是 一 个 奇 诺 状态 : 我 们 已 经 选择 时 间 动 

作 的 持续 时 间 使 得 执行 不 是 一 个 奇 诺 执行 (尤其 是 ， 图 9-2 就 反映 了 一 个 非 奇 诺 执行 )。 

如 果 该 系统 某 个 可 达 状 态 是 奇 诺 状态 ， 那 么 这 个 混成 进程 称 为 奇 诺 进程 。 对 于 一 个 奇 
诺 进 程 ， 执 行 可 以 停止 在 某 个 状态 ， 从 这 个 状态 开始 每 个 可 能 的 继续 执行 都 导致 时 间 动 作 
的 持续 时 间 的 和 收敛 。 图 9-3 中 的 BouncingBall 进程 就 是 一 个 奇 诺 进程 。 然 而 ， 图 9-1 
中 的 Thermostat 不 是 奇 诺 进程 ， 所 以 由 ReacorPlant 和 ReactorControl 组 合 的 进 
程 也 不 是 奇 诺 进程 ( 详 见 9. 12 节 )。 

上 述 定 义 总 结 如 下 。 


奇 诺 执行 ， 奇 诺 状态 和 奇 诺 进程 

如 果 一 个 混成 进程 HP 的 无 限 执行 中 所 有 时 间 动 作 的 持续 时 间 的 和 收敛 于 一 个 常 
数 ， 那 么 这 个 执行 称 作 一 个 奇 诺 执行 。 如 果 包 含 状态 s 的 每 个 无 限 执行 都 是 奇 诺 执行 ， 
那么 混成 进程 的 状态 s 称 为 奇 诺 状态 。 如 果 存 在 一 个 可 达 的 奇 诺 状态 *， 那 么 这 个 混成 
进程 HP 就 是 一 个 奇 诺 进程 。 


改进 奇 诺 模型 
如 果 单 独 分 析 混 成 进程 BouncingBall 的 奇 诺 性 ， 那 么 它 可 能 不 是 一 个 严重 的 问题 。 
然而 ， 考 虑 组 合 进程 











HP=BouncingBall || Thermostat 
它 是 通过 与 恒温 器 并 行 组 合 得 到 的 。 即 使 两 个 进程 BouncingBall 和 Thermostat 之 间 相 互 
不 通信 ， 它 们 也 在 同一 时 间 内 同步 执行 。 尤 其 是 ， 组 合 进程 HP 是 一 个 奇 诺 进程 ， 并 且 
HP 的 初始 状态 也 是 一 个 奇 诺 状态 。 这 可 以 推出 一 个 荒 雇 的 结论 。 举 例 来 说 ,假设 选 择 两 
个 进程 的 参数 使 得 反弹 球 的 所 有 时 间 动 作 的 持续 时 间 和 的 边界 是 表达 式 V2gho (1 十 a)/ 
(1 一 a) 给 出 的 ， 它 小 于 恒温 器 切换 到 模式 on 的 表达 式 (To 一 62)/ks 给 的 最 早 时 间 ， 那 么 
在 HP 的 每 个 执行 中 ，Thermostat 的 模式 永远 都 处 于 off， 并 且 它 的 温度 变量 从 初始 值 
To 开始 持续 递减 ， 永 远 不 能 达到 62。 根 据 定 义 ， 只 有 当 状 态 在 系统 执行 中 出 现 过 时 该 状 
态 才 称 为 可 达 的 状态 。 因 此 ， 下 面 的 属性 是 组 合 过 程 HP 的 一 个 不 变量 : 
(mode= of £) A (62<TX<T,) 
当然 这 个 属性 不 是 Thermostat 的 不 变量 ， 并 且 违 反 了 恒温 器 的 物理 过 程 ， 不 管 是 
[B91] 否 存 在 一 个 球 在 恒温 器 旁边 弹跳 。 
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因此 ， 在 一 个 包括 多 个 组 件 的 系统 中 ， 存 在 一 个 奇 诺 过 程 可 能 会 以 意 想不到 的 方式 影 
响 整 个 系统 的 分 析 。 这 个 形象 告诉 我 们 ， 在 形式 化 建 模 过 程 中 应 该 避免 引入 奇 诺 进程 。 

通过 修改 模型 使 得 模型 不 再 关注 模 态 转换 后 的 越 来 越 短 的 持续 时 间 行 为 ， 奇 诺 进程 可 
以 转换 成 非 奇 诺 过 程 。 举 例 来 说 ， 图 9-9 展示 了 从 BouncingBall 得 到 的 非 奇 诺 进 程 模 
型 NonZenoBall, NonZenoBall 增加 了 新 的 模式 StoB， 当 碰撞 的 速度 小 于 某 个 临界 值 
v, IT, NonZenoBall 从 初始 模式 Fall 切换 到 Stop。 从 初始 模式 开始 ， 如 果 我 们 执行 了 
一 个 最 大 可 能 的 持续 时 间 的 时 间 动 作 ， 然 后 执行 对 应 于 离散 磁 撞 的 输出 动作 ， 然 后 在 有 限 
多 次 动作 后 ， 当 速度 的 值 小 于 临界 值 时 ， 过 程 切换 到 模式 Stop。 进 入 模式 Stop 后 ， 任 意 
持续 时 间 的 时 间 动 作 都 是 可 能 的 ， 并 且 尤 其 是 ， 它 可 以 变 成 一 个 非 奇 诺 执 行 。 


落下 停止 
(h=0Av0 < u)—> 


bump!; v:= 0 










(h=0Au>u)—> 


bump!; v := -av 
图 9-9 反弹 球 的 非 奇 诺 模型 


如 果 我 们 组 合 进 程 Thermostat 和 改进 的 反弹 球 进程 NonZenoBall, 那么 Ther- 
mostat 的 行为 再 也 不 受 影响 。 尤 其 是 ， 验 证 关于 恒温 器 的 模式 和 温度 的 属性 6， 是 组 合 
进程 NonZenoBall || Thermostat 的 不 变量 当 且 仅 当 它 是 过 程 Thermoatat 的 不 变量 。 
练习 9.5: 考虑 下 述 情形 。 两 列 火车 在 同一 铁轨 上 以 不 变 的 速度 相向 运行 : KEE MATT, TR 

度 为 凤 ， 火 车 三 向 西方 行驶 ， 行 驶 速度 为 v。 一 只 小 蜜蜂 以 速度 w 沿 着 铁轨 向 西方 飞 去 ， 
当 小 蜜蜂 遇 到 火车 巨 时 ， 它 立即 掉头 以 同样 的 速度 ww 向 东方 飞 去 ， 并且 一 直 循 环 上 述 过 程 。 
请 用 一 个 混成 进程 来 对 这 个 情形 建 模 ， 状 态 机 可 以 有 两 个 模式 ， 分 别 对 应 于 小 蜜蜂 飞行 的 方 
向 ， 并 且 状 态 机 有 3 个 状态 变量 来 保存 火车 EL KEW 和 小 蜜蜂 B 的 位 置 。 证 明 这 个 过 程 是 
一 个 奇 诺 过 程 ， 并 且 用 ve. ou 和 ws 以 及 3 个 位 置 变量 的 初始 值 来 表示 两 个 火车 之 间 的 距离 。 
练习 9.6" : 在 这 个 练习 中 ， 我 们 建立 这 样 的 属性 : 并 发 组 合 不 保留 非 奇 诺 性 。 考 虑 下 述 混成 进程 HP 。 
它 有 一 个 输入 事件 x 和 一 个 输出 时 间 y。 当 HP, 接收 到 一 个 输入 时 ， 它 等 待 1/2’ 个 时 间 单 
位 ， 如 果 这 是 它 已 经 接收 到 的 第 i 个 输入 事件 ， 那 么 它 发 出 一 个 输出 事件 (在 它 等 待 发 出 输 
出 时 它 不 接收 任何 输入 )。 使 用 扩展 自动 机 设计 这 个 混成 进程 HP, 。 为 了 满足 设计 使 用 一 个 
单 时 钟 变量 ， 因 此 HP, 是 一 个 时 间 动 作 。 请 证 明 HP, 是 非 奇 诺 的 。 
然后 ， 考 虑 下 面 另 一 个 混成 进程 HP;。 它 有 一 个 输入 事件 y 和 一 个 输出 事件 x。HP; 首 
先 延 迟 1 发 后 发 出 一 个 输出 事件 ， 然 后 ， 当 它 接收 到 一 个 输入 时 ， 它 等 待 1/2’ 个 时 间 单 位 ， 
如 果 这 是 它 已 经 接收 到 的 第 i 个 输入 事件 ， 那 么 它 发 出 一 个 输出 事件 。 使 用 扩展 状态 自动 机 
设 这 个 计时 间 动 作 HP:; 。 证 明 HP。 是 非 奇 诺 的 。 
最 后 ， 考 虑 并 行 组 合 HP, || HP; 。 请 证 明 这 个 组 合 过 程 是 奇 诺 过 程 。 


9.1.4 稳定 性 


如 第 6 章 所 述 ， 稳 定性 是 动态 系统 一 个 令 人 满意 的 特性 。 我 们 知道 如 果 一 个 系统 从 状 
AS se 开始 ， 当 没有 外 部 输入 时 一 直 保持 在 状态 s.， 那 么 状态 s 称 为 平衡 状态 。 当 我 们 轻 轻 
扰动 系统 ， 这 样 的 平衡 状态 是 稳定 的 ， 也 就 是 说 ， 选 择 初始 状态 s 使 得 距离 | s—s. | 最 
小 ， 那 么 在 任何 时 刻 系统 的 状态 距离 平衡 状态 都 小 于 一 个 边界 值 。 

我 们 可 以 通过 相同 的 定义 来 理解 混成 进程 的 稳定 性 。 然 而 ， 由 于 模式 切换 的 存在 ， 用 
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数学 方法 描述 线性 系统 的 稳定 性 和 设计 稳定 控制 器 的 相关 技术 将 不 适用 于 混成 系统 。 我 们 
利用 一 个 例子 来 说 明 由 于 模式 切换 带 来 的 困难 。 

考虑 图 9-10 中 的 混成 进程 。 在 模式 A 的 动态 进程 由 线性 微分 方程 3 三 一 % — 1005, 和 
sz 二 1051 一 s; 确定。 注意 原点 ， 也 就 是 ， 状 态 0， 是 一 个 平衡 状态 。 动 态 和 矩阵 的 特征 值 是 
一 1 十 V1000j 和 一 1 一 V1000j， 根 据 定理 6.3， 我 们 可 以 得 出 这 个 动态 连续 时 间 系 统 是 渐 
近 稳 定 的 。 










§,=-s,+ 10s, 
§,=-100s,-s, 


(s,= 55,)? site 


图 9-10 由 于 模式 切换 导致 的 不 稳定 性 


Sill, AA TEAR EE (s, >— 0. 251) 成 立时 图 9-10 中 的 混成 进程 才 保 持 在 模式 A， 当 状 
态 满足 切换 条 件 (% 三 一 0. 2s1) 时 ， 它 切换 到 模式 B。 与 模式 B 有 关 的 动态 性 由 线性 微分 方 
FE sı =—s, 110s, 和 52 二 一 100si 十 sz 确定 。 注 意 这 个 动态 矩阵 是 模式 A 的 动态 矩阵 的 转 
置 ， 因 此 有 同样 的 特征 值 ， 那 么 在 模式 B 系统 也 是 渐 近 稳定 的 。 只 要 不 变量 (s; 宇 55 ) 成 立 
那么 该 过 程 保持 在 模式 B， 当 满足 条 件 (s; 二 5s1) 时 ， 它 切换 到 模式 A, 

尽管 在 单个 模式 A 和 模式 B 中 的 动态 
性 都 是 渐 近 稳定 的 ， 但 是 模式 切换 会 导致 
不 稳定 性 。 图 9-11 展示 了 系统 在 模式 A 下 
从 初始 状态 (一 0.01，0. 02) 的 执行 。 的 确 ， 
原点 是 不 稳定 的 ， 如 果 在 模式 A 状态 s 不 在 
原点 ， 那么 无 论 它 离 原 点 多 近 ， 随 着 时 间 
的 推移 系统 状态 偏离 原点 。 

分 析 混 成 系统 的 稳定 是 一 个 困难 问题 。 
将 连续 时 间 系 统 的 一 般 分 析 方 法 应 用 到 混 
成 系统 中 ， 是 一 种 仍然 在 研究 的 领域 ， 在 -0.5 -04 -03 -02 -01 0 0! 
本 书 中 没有 涉及 。 $y 

9-11 ASY 定 响 应 
9.2 混成 系统 设计 图 由 于 模 态 切换 导致 的 不 稳定 响应 


我 们 使 用 3 个 例子 来 阐述 混成 系统 的 控制 器 的 建 模 和 设计 。 第 一 个 例子 说 明 在 不 同 操 
作 模 式 切 换 的 控制 器 的 设计 ; 第 二 个 例子 说 明 改 进 计 划 的 多 代理 协调 ; 第 三 个 例子 是 一 个 
多 跳 控 制 网 络 ， 用 来 展示 如 果 对 一 个 集成 了 控制 、 计 算 和 通信 的 系统 进行 建 模 。 


9.2.1 自动 驾驶 车 辆 


考虑 一 个 自动 驾驶 车 辆 ， 它 需要 编程 按照 预定 轨迹 进行 移动 。 自 动 驾 驶 车 辆 事先 不 知 
道 预定 的 轨迹 ， 轨 迹 信 息 由 传感器 接收 。 尤 其 是 ， 假 设 车 辆 只 要 不 偏离 轨迹 太 多 ， 传 感 器 
就 可 以 测量 车 辆 的 偏离 轨 边 的 距离 d。 使 用 三 极 管 铺 在 预定 的 轨迹 上 可 以 提供 这 些 信息 。 

车 辆 的 动态 性 以 建 模 为 一 个 二 维 平面 的 刚体 运动 。 车 辆 可 以 以 最 大 速度 v 沿 着 物体 的 
轴线 移动 ， 同 时 可 以 以 角速度 色 绕 它 的 重心 旋转 ， 角 速度 的 范围 为 [一 xr/s，xr/s]。 变 量 
(rz，y) 对 车 辆 的 位 置 建 模 ， 角 度 变量 9 表示 车 头 相 对 于 某 些 固定 物体 的 角度 。 
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图 9-12 展示 了 自动 驾驶 车 辆 的 设计 问题 。 根 据 当前 测量 的 距离 4， 控 制 器 必须 调整 控 
MAA o MARE o 使 得 距离 d 的 值 尽 能 接 进 0。 控制 设计 中 的 另 
一 个 约束 是 车 辆 的 硬件 只 人 允许 车 辆 的 角速度 co 有 3 个 离散 的 值 ， 
分 别 为 0、 一 x 和 x。 当 w=0 时 ， 车 辆 的 方位 角 0 保持 不 变 ， 车 辆 
直线 前 进 ; 当 w 一 一 x 时， 车 辆 的 方位 角逐 渐变 小 ， 因 此 车 辆 开始 
向 右 偏转 ; 类 似 地 ， 当 w= 工 时 ， 车 辆 的 方位 角逐 渐 增 大 ， 车 辆 开 
始 向 左 偏转 。 

控制 器 的 设计 师 进行 了 长 远 的 设计 当 车 辆 直线 行驶 时 它 以 速 
度 v 尽 可 能 快 地 行驶 。 当 车 辆 向 左 或 者 向 右 偏转 时 ， 车 辆 以 最 大 
值 可 能 速度 的 一 半 (v/2) 行 驶 。 这 导致 图 9-13 中 的 混成 状态 机 的 4 图 912 自动 驾驶 车 辆 
个 操 模式 。 在 模式 Stop， 车 辆 是 静止 的 ;在 模式 Straight， 千 iie i i 
辆 以 速度 和 角速度 ==0 运动 ; 在 模式 Left， 车 辆 以 速度 v/2 和 角速度 o=r 向 左 偏转 ; 
在 模式 Right， 车 辆 以 速度 v/2 和 角速度 w= 一 x 向 左 偏转 。 在 这 个 模型 中 ， 我 们 假设 车 
辆 在 模式 切换 时 可 以 瞬间 改变 速度 和 角度 。 如 果 模式 切换 所 需 的 时 间 与 每 个 模式 所 需 的 时 
间 相 比 是 微不足道 的 那么 这 个 假设 就 是 合理 的 。 

























Right 
x = (vcos 8)/2 
y= (vsin 0)/2 
ĝ=-n 
de 





Straight 
(d<e)? x=vcos6 
y=vsing 
0=0 
-exd<e 











(d = e)? 






u ? stop 







u? start ^ 


(d= e)? 


a ati (d> -e)? 










u? start ^ 
(-e < d< e)? 







EETA 
Left 
x=(v cos 6)/2 
y=(v sin 0)/2 
ġ=n 
d S -e 





u? start A (d < -e)? 







u? stop 


图 9-13 自动 驾驶 车 辆 的 混成 控制 器 


该 进程 的 输出 变量 是 离散 通道 in，in 可 以 保存 命令 start 和 stop 来 启动 和 停止 车 
辆 ， 并 连续 更 新 信号 d, d 用 于 记录 车 辆 偏离 预定 轨道 的 距离 。 根 据 设 计 ，d 为 正 值 是 表 
示 车 辆 向 左 偏离 了 预定 轨迹 ，& 为 负 值 是 表示 车 辆 向 右 偏离 了 预定 轨迹 。 

使 用 参数 。 来 设计 控制 器 的 切换 的 规则 。 当 当前 距离 在 区 间 [ 一 e， 十 ej 内 时 ,假设 车 
辆 足够 靠近 预定 的 轨迹 ， 控 制 器 决定 车 辆 直线 行驶 。 当 当前 距离 大 于 阔 值 e 时， 控制 器 就 
知道 车 辆 向 左 偏离 的 过 多 ， 必 须 通过 切换 到 模式 Right 转向 右边 。 类 似 地 ， 当 当前 距离 
JAFRE e 时 ， 控 制 器 就 知道 车 辆 向 右 偏离 的 位 置 过 多 ， 必 须 通 过 切换 到 模式 Left 转 
向 左边 。 图 9-13 的 混成 进程 的 切换 的 连续 时 间 不 变量 和 守卫 条 件 说 明了 这 个 逻辑 。 

混成 控制 器 的 行为 可 以 理解 为 适应 不 同形 状 的 轨迹 。 图 9-14 展示 了 一 个 沿 着 曲线 轨迹 行 
驶 的 自动 驾驶 车 辆 的 轨迹 。 在 这 个 情景 中 ， 预 定 轨迹 是 一 个 以 圆心 为 中 心 半径 为 50 的 圆 。 
下 列 值 用 于 设 定 车 辆 的 初始 状态 : v=35, e=5, ro =— 30, yw =35, 0=0. 4r。 在 初始 条 件 
下 ， 车 辆 直线 行驶 。 当 车 辆 偏离 预定 轨迹 的 距离 超过 e 时 ， 车 辆 开始 向 右 偏 转 ， 当 车 辆 偏离 
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预定 轨迹 的 距离 小 于 时， 车 辆 又 开始 直线 实行 。 在 这 个 例子 中 ， 车 辆 调度 造成 过 度 调整 ， 
渐渐 使 得 车 辆 偏离 预定 轨道 的 距离 小 于 靖 值 一 *， 这 触发 车 辆 模式 切换 到 模式 Lett 车 。 





9-14 沿 着 曲线 轨迹 行驶 的 自动 驾驶 车 辆 的 轨迹 


练习 9.7: 对 于 自动 驾驶 车 辆 ， 考 虑 下 述 额外 的 约束 : 一 旦 车 辆 开始 直行 、 右 转 或 者 左 转 ， 车 辆 在 A 时 
间 内 不 能 改变 它 的 行驶 方向 ，A 是 一 个 给 定常 量 。 请 怎样 修改 图 9-13 中 的 混成 进程 来 捕获 这 
个 额外 的 约束 ? 这 样 的 改变 对 车 辆 的 运行 轨迹 有 什么 影响 ? 


9.2.2 多 机 器 人 协调 的 障碍 规避 


混成 系统 的 建 模 与 分 析 的 具有 挑战 性 的 应 用 领域 是 自主 移动 机 器 系统 的 多 机 器 人 协调 
的 设计 。 典 型 的 监控 任务 涉及 目标 的 识别 、 未 知 布局 房间 的 搜索 、 障 碍 规避 并 且 到 达 目 
标 。 每 个 机 器 人 的 感知 能 力 仅 产生 关于 环境 的 不 完全 的 信息 ， 尤 其 是 ， 每 个 机 器 人 只 有 关 
于 障碍 位 置 的 估计 。 机 器 人 可 以 通过 无 线 链 路 将 信息 传送 给 另 一 个 机 器 人 并 使 用 这 些 信息 
提高 它们 估计 的 准确 性 以 便 设 计 出 更 好 的 运动 计划 。 机 器 人 也 需要 与 另 一 个 机 器 人 和 合作 
来 完成 合作 任务 。 举 例 来 说 ， 可 能 需要 一 组 机 器 人 都 应 该 达到 同一 个 目标 ， 或 者 要 求 一 组 
机 器 人 在 它们 之 间 划 分 一 系列 的 目标 。 这 个 设计 问题 的 解决 方案 应 该 同样 是 空间 上 最 佳 的 
解决 方案 。 例 如 ， 客 观 上 所 有 机 器 人 到 达 目 标的 行动 轨迹 或 者 所 用 时 间 最 短 。 因 此 ， 在 满 
足 安全 性 需求 的 前 提 下 设计 问题 涉及 以 最 优 方式 协调 、 计 划 、 控 制 ， 这 个 问题 也 是 智能 车 
系统 和 飞行 管理 系统 中 设计 问题 的 典型 问题 。 
说 明 的 情形 
为 了 展示 一 个 具体 情形 中 的 建 模 过 程 ， 假 设 有 两 个 自主 移动 的 机 器 人 RR 和 R'。 我 们 
假设 在 二 维 z/y 平面 中 的 机 器 人 只 是 一 个 点 ( 见 图 9-15)。 机 器 人 R 的 初始 位 置 为 (x。， 
yo), HAFA R' 的 初始 位 置 为 (x。 ，y )。 每 个 机 器 人 的 目标 是 到 达 目 标 位 置 Czr，yr)。 
两 个 机 器 人 都 想 以 最 短 的 距离 到 达 目 标 位 置 。 假 设 两 个 机 器 人 都 以 固定 的 速度 "移动 。 那 
么 每 个 机 器 人 的 唯一 控制 输入 是 它 移动 的 方位 。 如 果 状 态 变 量 (x，y) 表 示 机 器 人 R 的 坐 
标 ， 状 态 变 量 (zx'，y') 表 示 机 器 人 R' 的 坐标 ， 变 量 0 表示 机 器 人 尺 面向 的 角度 ， 变 量 0 表 
示 机 器 人 R' 面 向 的 角度 ,那么 机 器 人 的 动态 过 程 可 以 由 以 下 微分 方程 确定 : 
xz = vcos 
y = vsing 
az' = cosb 


y = vsing 
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房间 里 存在 障碍 物 ， 这 就 可 以 防止 机 器 人 沿 直线 从 起 始 位 置 移动 到 目标 位 置 。 更 具体 
地 ， 假设 房 间 里 有 两 个 障碍 物 ， 两 个 障碍 物 分 别 
占据 了 房间 的 O 区 域 和 O, 区 域 ( 见 图 9-15)。 每 
个 机 器 人 都 配备 一 台 摄 像 机 来 检测 障碍 物 的 大 概 
位 置 ， 两 个 机 器 人 可 以 相互 通信 交换 他 们 检测 到 
的 障碍 物 的 大 概 位 置 ， 以 获得 更 准确 的 信息 。 

该 问题 的 安全 性 需求 是 : 机 器 人 不 可 以 碰撞 
到 房间 里 任何 的 障碍 物 。 也 就 是 说 ， 下 列 属 性 应 
该 是 系统 的 不 变量 ; X 

[Ca WD O A (x,y) EO A Ey) 

¢ Oi A Gay EO 图 9-15 两 个 机 器 人 在 存在 障碍 

活性 需求 是 : 每 个 机 器 人 应 该 最 终 到 达 它 的 情况 下 的 路 径 规划 
目标 : 





OLCa sy) = Caz yp] NOL = Gyr yy] 

估计 障碍 物 

使 用 摄像 机 来 精确 映射 障碍 物 是 一 个 计算 量 十 分 巨大 的 任务 。 而 且 ， 给 定 复杂 的 障碍 
物 描 述 ， 目 标 位 置 的 最 优 路 径 规划 也 是 一 个 计算 量 十 分 巨大 的 任务 。 为 了 解决 这 些 困 难 ， 
我 们 用 圆 形 来 估计 每 一 个 障碍 物 。 在 图 9-16 中 ， 实 际 障碍 物 是 一 个 占据 区 域 O 的 止 多 边 
形 。 半 径 r 的 圆 包 含 整 个 区 域 并 且 它 最 可 能 是 障碍 物 的 圆 形 近似 。 机 器 人 上 的 图 像 处 理 算 
法 只 需要 简单 返回 圆 的 参数 ， 这 并 不 需要 准确 检测 障碍 物 的 边缘 。 机 器 人 的 路 径 规划 算法 
需要 计算 一 条 避 开 圆 形 形 状 的 到 达 目 标的 路 径 ， 并 且 这 样 的 路 径 保证 不 能 碰 到 实际 的 障碍 
物 ， 从 而 满足 安全 性 需求 ， 即 使 它 不 是 到 达 目 的 的 最 短路 径 。 


障碍 O 









将 障碍 近似 为 贺 


Distance d, 
Position (x,, y2) 


Distance d, 


估计 到 障碍 物 距离 为 4, 的 圆 


Position (x, y,) 估计 到 障碍 物 距离 为 4, 的 贺 


图 9-16 ”障碍 物 的 近似 估计 


在 视觉 应 用 中 ， 多 种 因素 限制 了 障碍 物 的 准确 估计 ， 并 且 随 着 得 到 达 目 标的 距离 缩短 
估计 的 准确 度 提高 。 当 声呐 用 于 障碍 物 检测 时 这 尤其 适用 。 在 图 9-16 中 ， 障 碍 物 是 一 个 
以 (ze，2%o) 为 圆心 、 半 径 为 的 圆 。 机 器 人 在 当前 位 置 Czi，% 7) 估计 的 障碍 物 是 一 个 以 ea 
为 半径 的 圆 ， 而 这 里 e 大 于 >。 这 个 估计 值 取决 于 障碍 物 中 心 位 置 Cze，>y ) 到 机 器 人 所 在 
位 置 (zi ，yi) 的 距离 d1。 当 机 器 人 移动 到 位 置 (z; ，y% ) 时 ， 它 离 障碍 物 中 心 的 距离 为 d;， 
机 器 人 对 障碍 物 的 估计 值 是 另 一 个 以 e 为 半径 的 同心 圆 。 因 为 ds 一 di， 所 以 eein X 
机 器 人 接近 障碍 物 的 边缘 时 ， 机 器 人 距离 障碍 物 中 心 的 距离 缩短 ， 估 计 就 会 变 得 更 为 准 
确 ， 收 敛 于 障碍 物 半 径 的 真实 值 。 我 们 假设 机 器 人 估计 的 半径 值 与 机 器 人 离 障碍 物 中 心 的 
距离 成 线性 关系 ，d 是 机 器 人 与 障碍 物 中 心 的 当前 距离 ，- 是 障碍 物 的 半径 ， 那 么 机 器 人 
估计 的 半径 可 由 下 式 确定 : 
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e=rtald—r) 
x a 是 三 个 常量 目 0 一 < 二 1。 

在 图 9-15 的 情境 中 ， 我们 有 两 个 障碍 物 。 第 一 个 障碍 物 可 以 建 模 为 一 个 以 (zx3，w3) 
为 圆心 半径 为 7 的 圆 ， 第 二 个 障碍 物 可 以 建 模 为 以 (zz， 台 ) 为 圆心 半径 为 1; 的 圆 。 每 个 机 
器 人 根据 自己 的 位 置 距离 障碍 物 的 远近 估计 障碍 物 的 半径 。 此 外 ， 障 碍 物 估 计 是 一 个 计算 
量 很 大 的 任务 ， 因 此 估计 值 每 i, 秒 离散 地 更 新 一 次 。 

路 径 规 划 

考虑 机 器 人 RR， 它 的 当前 位 置 是 (zx，y)。 它 的 目标 是 在 避 开 两 个 障碍 物 的 同时 到 达 目 
标 位 置 Czr ，yr)。 对 于 障碍 物 O; ， 根 据 机 器 人 R 判断 ， 它 占据 的 区 域 是 一 个 以 (zx3，y3) 
为 圆心 半径 为 ea 的 圆 。 类 似 地 ， 对 于 障碍 物 0;， 根 据 机 器 人 RAB. EC SM KM 
个 以 (z3，y3) 为 圆心 半径 为 e 的 圆 。 规 划算 法 的 目标 是 计算 一 条 从 当前 位 置 到 目标 位 置 最 
短 的 路 径 使 得 该 路 径 与 估计 的 障碍 物 的 圆 不 相交 。 

路 径 规 划 通 常 以 离散 方式 更 新 。 在 我 们 的 设计 中 ， 路 径 规 划算 法 每 万 秒 调 用 一 次 ， 并 
且 路 径 规划 算法 确定 给 出 机 器 人 移动 方向 的 控制 输入 9， 直到 下 一 次 调用 路 径 规划 算法 前 ， 
机 器 人 的 移动 方向 不 发 生 改 变 。 我 们 假设 路 径 规 划算 法 用 函数 plan 表示 ， 它 的 输入 为 1) 
机 器 人 当前 位 置 (z，y); 2) 目标 位 置 Czf yp): 3) 第 一 个 障碍 物 的 圆心 为 (xz;，y!) 和 半 
BH es 4) 第 二 个 障碍 物 的 圆心 为 (zi ， 兴 ) 和 半径 为 ez:， 函 数 的 返回 值 为 机 器 人 应 该 移 
动 的 方向 0。 

规划 算法 的 第 一 步 是 检查 从 机 器 人 当前 位 置 Cz，y) 到 目 
标 位 置 (zj ，yr) 的 直线 路 径 是 否 横 穿 两 个 估计 障碍 物 图 形 的 MER 
任何 一 个 ， 如 果 没 有 ， 那 么 就 选择 这 条 直线 路 径 。 如 果 是 ， 
如 图 9-17 所 示 ， 那 么 考虑 从 当前 位 置 (x，y) 与 两 个 障碍 物 圆 
相 切 的 射线 ， 方向 A, All 02 与 第 一 个 障碍 物 相 切 ， 方向 Os All 0, 
与 第 二 个 障碍 物 相 切 ， 如 图 9-17 所 示 。 如 果 一 个 方向 与 一 个 
障碍 物 相 切 但 穿 过 了 另 一 个 障碍 物 ， 那 么 这 个 方向 就 不 被 采 % 
纳 。 在 剩 下 的 选择 中 ， 选 择 到 达 目 标 位 置 最 短 的 路 径 。 在 


rs y) 





图 9-17 中 ， 当 切线 方向 9; AO, 穿 过 其 他 障碍 物 时 ， 它 们 不 能 œ y) 
被 采纳 。 方 向 9, 对 应 于 路 径 P, 到 达 目 标 位 置 ， 方向 0, 对 应 ”图 9-17 规避 圆 形 障碍 物 的 
于 路 径 P, 到 达 目 标 位 置 。 由 于 路 径 P 的 长 度 比 路 径 P, 的 长 路 径 规划 


度 短 ， 所 以 路 径 规划 算法 返回 方向 A, 。 

注意 ， 机 器 人 并 不 是 实际 沿 着 Pi 移动， 相反， 机 器 人 从 方向 9 开始 移动 。 当 规划 算 
法 再 次 被 调用 时 ， 如 果 那 时 对 障碍 物 的 估计 值 更 改 了 ， 那么 机 器 人 可 以 修改 它 的 选择 。 尤 
其 是 ， 在 我 们 的 例子 中 ， 当 机 器 人 沿 着 方向 o 移动 时 ， 随 着 圆 形 半径 可 变 小 机 器 人 获得 
第 一 个 障碍 物 的 改进 的 估计 值 。 因 此 机 器 人 在 逆 时 针 方 向 递减 % 的 值 ， 使 得 机 器 人 朝 着 
离 实 际 障碍 物 更 近 的 方向 移动 。 

函数 Plan 包含 了 一 系列 的 浮 点 数 运算 来 确定 圆 的 切线 和 交叉 关系 。 这 部 分 代码 使 用 
C 语言 或 者 MATLAB 实现 ， 并 且 基 于 模型 的 设计 框架 中 的 更 新 描述 调用 这 个 函数 。 

协调 

为 了 理解 协调 的 影响 ， 我 们 重新 回顾 作为 图 9-18 例子 的 图 9-17 中 的 规划 算法 。 假 设 机 
器 人 R' 离 第 二 个 障碍 物 更 近 ， 因 此 它 有 这 个 障碍 物 的 半径 的 更 好 的 估计 值 e 。 如 果 机 器 人 
R' 将 这 个 信息 传送 给 机 器 人 RR， 那 么 机 器 人 民 可 以 简单 地 将 估计 值 e 更 新 为 es: 。 使 用 这 个 更 
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新 的 估计 值 ， 规 划算 法 可 以 得 出 与 第 一 个 障碍 物 相 切 的 方向 & 是 可 行 的 选择 ， 因 为 它 不 会 穿 
过 以 (地 ， 哆 ) 为 圆心 半径 为 & 的 图 形 。 与 这 个 选择 对 应 的 路 径 Pe 比 路 径 P, 短 ( 见 图 9-18)。 
结果 ， 路 径 规划 算法 选择 方向 0 ， 这 是 最 佳 选择 方案 。 多 
本 例 中 的 协调 策略 十 分 简单 :每 过 4 秒 ， 机 器 人 尺 将 它 对 MEP, 
障碍 物 半径 值 et 和 e 的 估计 值 发 送 给 机 器 人 R'， 并 且 当 它 接收 
到 来 自 其 他 机 器 人 的 对 该 障碍 物 半径 值 的 估计 (ef，e;) 时 ， 机 器 
A R Hiki e 更 新 为 它 自己 当前 估计 值 。 和 接收 值 e 的 最 小 









值 ( 因 为 更 小 的 半径 是 改进 的 估计 值 ) 。 
混成 模型 \ 0, 
下 面 我 们 将 机 器 人 模型 描述 成 一 个 混成 模型 。 我 们 描述 的 
机 器 人 R 的 模型 和 机 器 人 尺 ' 的 模型 是 对 称 的 ， 并 且 可 以 实例 化 
地 获得 。 图 9-18 协调 路 径 规 划 ， 
机 器 人 R 的 混成 进程 如 图 9-19 所 示 。 它 使 用 了 下 列 变量 : hs dedi 
@ 一 个 (realXreal) 类 型 的 输入 通道 in， 用 于 接收 来 自 另 一 个 机 器 人 的 障碍 物 半径 
的 估计 值 。 
e 一 个 (realXreal) 类 型 的 输出 通道 out， 用 于 将 障碍 物 半 径 的 估计 值 发 送 给 男 一 
个 机 器 人 。 
© cont 类 型 的 连续 更 新 的 变量 zx 和 yw， 记录 机 器 人 的 位 置 。 这 些 变量 的 初始 值 分 别 
为 Xo 和 Yoo 


o real 类 型 的 离散 更 新 的 状态 变量 e 和 e; ， 记 录 两 个 障碍 物 半径 的 当前 估计 值 。 根 
据 初 始 机 器 人 位 置 与 两 个 障碍 物 中 心 之 间 的 距离 变量 e 和 ez 的 初始 值 ， 通 过 执行 
障碍 物 估 计算 法 得 出 。 

© 离散 更 新 的 状态 变量 9 用 于 记录 机 器 人 当前 移动 的 方向 ，0 的 取 值 范围 是 [一 2x， 
2x]。 初 始 方向 由 函数 plan 得 到 。 

© 连续 更 新 的 状态 变量 z, 用 于 控制 每 如 秒 调用 一 次 路 径 规 划算 法 的 时 间 约 束 ，z, 的 
初始 值 是 0， 它 是 时 钟 变量 。 

e 连续 更 新 的 状态 变量 z 用 于 控制 每 t+. 秒 使 用 可 用 数据 更 新 估计 值 的 时 间 约 束 ，z。 
的 初始 值 是 0， 它 是 时 钟 变 量 。 

© 连续 更 新 的 状态 变量 z 用 于 每 上 秒 传 送 估计 值 的 时 间 约 束 ，z. 的 初始 值 是 0， 它 是 
时 钟 变量 。 


人 = 如 一 {outl(ee)3x:=0 








G=) = 
{0 := plan (x, y, xp Yp €x €); %:= 0} 


clock z, 3% %:=0 

X = Xo Y = Vo 

ei:=r+aldist((x, y), Gl, y!))- ri) 
@,:= ryta (dist ( (x, y) G3, y3) )- r3) 
0:= plan (x, ys Xp Yp ei, e) 





Move 
x=vcos0 
y=vsin0 












G@=x,A y=y)? 


yS phg SANS h 
Ax xV y y) 






(= t) + {z,:= 0; 
e,:=min (e, r; +a(dist((x, y), (x1, y!))-r7)); 
in ? (ej, e) > e:= min (e, r,+ a(dist((x, y), 2, y9)-r))} 
{e,:=min (e,, e,); e,:= min (e,,e,) } 


图 9-19 机 器 人 的 混成 自动 机 
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该 混成 进程 有 两 个 模式 : Move 和 stop。 初 始 时 ， 模式 是 Stop。 在 一 个 时 间 动 作 
中 ，3 个 时 钟 变量 z,、z, 和 ze 以 速率 1 递增 , 位 置 变量 xz Al 分 别 以 速率 vcos0 和 
vsind 更 新 。 

模式 切换 过 程 如 下 : 

o 当 机 器 人 到 达 目 标 位 置 时 ， 由 条 件 (Cz=zrAy=y) 表 示 ， 机 器 人 切换 到 模式 Stop. 

e 当 输 入 通道 in 接收 到 输入 (es ，e? 7) 时， 更 新 障碍 物 估计 e Ale 为 当前 值 与 接收 值 


的 最 小 值 。 

e 当时 钟 变 量 z, = 时 ， 根 据 当 前 估计 值 ， 调 用 规划 函数 plan 更 新 方向 9， 并 将 z, 
重 置 为 0。 

o 当时 钟 变 量 5t 时 ， 在 输出 通道 out 上 发 送 估计 ea Ale 的 当前 值 ， 并 且 将 ~ E 
置 为 0。 : 


e 当时 钟 变量 z= 时 ， 通 过 执行 基于 视觉 的 障碍 物 估 计算 法 来 更 新 ee 和 es 的 当前 
值 ， 并 将 x 重 置 为 0。 如 前 文 所 述 ， 通 过 计算 当前 机 器 人 位 置 与 两 个 障碍 物 的 中 心 
之 间 的 距离 ， 并 且 如 果 修 改 的 估计 值 更 好 那么 更 新 估计 值 来 获得 该 算法 的 作用 。 
模式 Move 的 连续 时 间 不 变量 保证 当 对 应 于 离散 切换 的 更 新 条 件 满足 时 ， 时 间 被 中 断 
来 执行 对 应 的 离散 动作 ; 当 混 成 进程 处 于 模式 Stop 时 ， 机 器 大 只 是 简单 地 在 那 待 等 。 
我 们 需要 的 系统 是 两 个 机 器 人 的 并 行 组 合 。 系 统 描 述 涉及 大 量 的 参数 。 系 统 需要 从 可 
能 的 选择 中 选择 参数 的 值 来 进行 多 次 模拟 。 尤 其 是 ， 我 们 更 喜欢 寻找 去 的 值 ， 该 值 确定 多 
长 时 间 机 器 人 之 间 应 该 通信 这 样 通信 实际 改进 移动 的 距离 。 
示例 执行 
9-20 展示 了 使 用 STALEFLOW/SIMULINK 模拟 该 模型 获得 的 该 模型 的 样本 执 
行 。 机 器 人 RR 和 机 器 人 R' 的 初始 位 置 分 别 是 (4.5，2) 和 (10，2)， 目标 位 置 是 (6，10)。 
障碍 物 O, 的 中 心 位 于 (3.7，7.5)， 半 径 为 0.9; 障碍 物 O 的 中 心 位 于 (7，7)， 半 径 为 
1.25。 机 器 人 的 移动 速度 为 0.5 单位 / 秒 ， 障 碍 物 估计 中 使 用 的 系数 a 为 0.12。 其 次 ， 
执行 路 径 规划 算法 的 时 间 周 期 六 为 2s， 机 器 人 更 新 障碍 物 估 计 值 的 时 间 间 隔 te 是 2s。 在 
两 次 执行 过 程 中 ， 传 送 障碍 物 估 计 值 的 时 间 周 期 e 的 值 是 不 同 的 : 通过 设置 i. 二 4s 得 到 左 
边 的 执行 ， 通 过 设置 去 为 一 个 高 值得 到 右边 的 执行 。 


碰 到 的 障碍 





图 9-20 解释 障碍 物 规避 的 执行 


mk AH 251 





根据 机 器 人 R 的 初始 估计 值 ， 两 个 障碍 物 似乎 存在 重 倒 区域。 当 机 器 人 靠近 障碍 物 
时 ,估计 值 更 准确 ， 并 且 上 暗示 经 过 两 个 障碍 物 之 间 到 达 目 标的 一 条 路 径 。 对 于 机 器 人 R'， 
规划 的 路 径 没 有 表现 出 这 样 的 质变 ,但 注意 当 机 器 人 R' 移 动 时 第 二 个 障碍 物 的 估计 值 不 
断 改 进 ， 产 生 了 弯曲 的 轨迹 。 可 以 观察 到 ， 作 为 通信 的 结果 ， 在 左 图 中 机 器 人 RR 移动 的 距 
离 更 短 。 这 是 因为 机 器 人 R 接收 了 来 自 机 器 人 R' 的 对 第 三 个 障碍 物 更 好 的 估计 值 并 且 由 
于 这 个 协调 将 它 的 路 由 切换 到 更 短 的 路 径 。 尤 其 是 ， 在 有 通信 的 情况 下 机 器 人 RR 的 移动 距 
离 为 8. 6480， 而 在 没有 通信 的 情况 下 机 器 人 R 的 移动 距离 为 8. 8136( 在 两 种 场景 下 机 器 人 
R' 的 移动 距离 都 是 9. 1550), 
练习 9. 8: 在 协调 障碍 物 规避 问题 ， 考 虑 下 述 降低 所 需 计 算 量 的 最 优 问题 。 如 果 一 个 机 器 人 基于 它 对 障 

碍 物 的 当前 估计 确定 从 它 的 当前 位 值 到 目标 的 直线 路 径 不 穿 过 障碍 物 的 任何 区 域 ， 那 么 这 样 
的 路 径 不 能 进一步 改进 ， 机 器 人 只 能 简单 地 确定 在 这 个 方向 移动 而 不 需要 进一步 规划 。 修 改 
图 9-19 中 的 模型 以 便 含 这 个 优化 。 


9.2.3 多 跳 控制 网 络 - 


反馈 控制 循环 的 典型 架构 如 图 6-1 所 示 。 作 为 对 比 ， 无 线 网 络 控制 系统 是 空间 分 布 系 
统 ， 其 中 传感器 、 作 动 器 和 计算 单元 之 间 的 通信 由 其 享 的 无 线 通 信和 网 络 支持 。 在 工业 自动 
化 中 部 署 这 种 网 络 控制 系统 产生 灵活 的 架构 ， 当 与 传统 的 有 限 控制 循环 相 比 时 可 以 减少 安 
装 、 调 试 、 诊 断 和 维护 的 成 本 。 网 络 架构 中 控制 器 的 设计 面临 着 新 的 挑战 。 首 先 ， 被 控 对 
象 与 对 应 的 控制 器 之 间 的 通信 涉及 多 跳 ， 因 此 产生 大 量 的 时 间 延 迟 。 其 次 ， 多 控制 循环 可 
能 共享 同一 个 网 络 链 路 ;导致 相互 依赖 。 因 此 ， 调 整 被 控 对 象 输入 的 控制 规则 的 设计 ， 通 
过 网 络 传送 消息 的 路 由 策略 ， 以 及 共享 网 络 链 路 的 调度 策略 必须 以 协同 方式 设计 。 现在 我 
们 介绍 怎么 使 用 本 书 介 绍 的 建 模 概 念 来 对 这 样 的 多 跳 控制 网 络 建 模 。 

示例 网 络 

图 9-21 展示 了 一 个 样本 网 络 。 该 网 络 包括 两 个 被 控 对 象 P! 和 P 以 及 它们 对 应 的 控 
制 器 C 和 Cs。 被 控 对 象 与 控制 器 之 间 的 消息 通过 有 4 个 节点 Ni Nas Ns 和 NN, 的 网 络 
进行 路 由 。 不 同 构件 之 间 的 链 路 e: ，es…，eis 是 有 向 的 。 例 如 ， 被 控 对 象 P 的 输出 通过 
链 路 ez 发 送 给 节点 Nz, 网 络 使 用 链 路 ers en Al es 将 该 消息 转发 给 控制 器 C, o 


BEM RP, TRAN, 控制 器 C， 控制 器 C， 





PEM RP, ATA, WAN, WAN, 
图 9-21 多 跳 控制 网 络 的 例子 


为 了 将 网 络 部 署 在 控制 应 用 环境 中 ， 网 络 必须 保证 消息 传递 的 实时 性 。 我 们 假设 可 以 
在 持续 时 间 A 内 通过 给 定 链 络 传送 一 个 消息 。 也 就 是 说 ， 将 时 间 分 解 为 时 间 片 ， 每 个 时 间 
片 为 A 个 时 间 单 位 。 

在 每 个 时 间 片 的 开始 ， 每 个 节点 可 以 在 它 的 每 个 传 出 链 络 上 发 送 一 个 消息 。 每 个 链 路 上 
的 消息 可 以 被 时 间 片 的 结尾 传 给 的 目标 构件 接收 。 这 样 的 网 络 称 作 时 间 和 触发 的 网 络 。 新 兴 的 
无 线 网 络 的 WirelessHART 标准 提供 了 这 样 的 抽象 ， 并 且 逐 渐 应 用 于 工业 过 程控 制 中 。 
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被 控 对 象 模型 

图 9-22 展示 了 使 用 混成 进程 对 多 跳 控制 网 络 中 的 被 控 对 象 建 模 。 被 控 对 象 包含 连续 
更 新 的 状态 变量 S$，S 的 初始 值 是 s。， 在 时 间 动 作 中 ， 它 根据 微分 方程 $= 二/(S，u，d) 进 
行 演化 ， 其 中 丸 表 示 受 控 的 输入 ，d 表示 不 受 控 的 输入 (或 扰动 )。 扰 动 & 是 一 个 连续 更 新 
的 外 部 输入 信号 。 








cont S:= Sp Clockx':=0; real” u:= uo 










(real™ x IDs)in 
S=f(S, u, d) 
CIl:x <A 


(real” x IDs) out 





A,: if (Second (in) =myID) then u := First (in) 


td 
stl A,: (x=A) = {out := (A(S) ,cntr1ID);x:=0} 


图 9-22 多 跳 控制 网 络 中 的 被 控 对 象 模型 


受 控 输入 与 第 6 章 介绍 的 连续 时 间 构 件 的 模型 不 同 ， 只 能 离散 地 更 新 ， 当 过 程 在 
输入 通道 in 接收 到 一 个 新 的 值 时 。 假 设 SE — 7 m 维 失 量 。 进 程 模型 需要 在 内 部 状态 中 
保存 这 个 变量 的 数值 。 通 过 网 络 传输 的 消息 是 对 (z，id)， 它 包含 一 个 值 v 和 消息 目标 地 
址 的 标识 符 id。 定 义 IDs 表示 网 络 中 所 有 被 控 对 象 和 控制 器 的 标识 符 的 集合 。 然 后 通过 被 
控 对 象 自己 的 标识 符 对 被 控 对 象 过 程 的 描述 进行 参数 化 ， 表 示 为 myID。 输 入 通道 in 上 的 
输入 处 理 用 输入 任务 A; 描述 : 当 它 从 输入 通道 接收 消息 (w，id) 时 ， 它 检查 标识 符 id 是 否 
等 于 它 自己 的 标识 符 ， 如 果 两 个 标识 符 相 等 ， 那 么 它 将 存储 在 状态 变量 u 中 的 控制 输入 的 
值 更 新 为 值 z。 如 果 输 入 通道 in 在 时 间 刀 ，ts… 分 别 接收 到 目标 为 该 被 控 对 象 的 值 vi， 
v2… 的 序列 ， 那 么 变量 的 变化 是 一 个 分 段 常数 信和 号， 对 于 每 个 i， 该 信号 的 值 在 区 间 [Lti， 
tD Ade Uio 

函数 及 将 被 控 对 象 状态 映射 为 它 的 输出 。 假 设 被 控 对 象 输出 也 是 一 个 m 维 向 量 。 那 么 
网 络 上 交换 的 每 个 消息 是 (real”XIDs) 类 型 ,被 控 对 象 的 输出 在 通道 out 上 传送 。 因 为 
每 个 网 络 链 路 在 每 A 个 时 间 单 位 内 只 能 传送 一 个 消息 ， 所 以 被 控 对 象 应 该 每 A 个 时 间 单 位 
在 通道 out 传送 一 个 消息 。 为 了 表示 这 个 时 间 约 束 ， 我 们 引入 时 钟 变量 zx， 初始 值 为 0。 
与 该 进程 相关 的 时 钟 不 变量 是 条 件 zx 二 A， 负责 在 通道 out 上 发 送 消息 的 与 输出 任务 A。 相 
关 的 守卫 条 件 是 (z= 二 A)。 这 两 个 条 件 一 起 保证 每 A 个 时 间 单 发 送 位 消息 。 通 过 将 输出 映 
th 应 用 到 被 控 对 象 状 态 来 计算 要 传送 的 消息 的 值 。 消 息 的 目标 地 参数 cntr1lID 表示 ， 
它 是 负责 具体 被 控 对 象 的 控制 器 的 标识 符 。 

在 图 9-21 所 示 的 网 络 中 ， 我 们 需要 被 控 对 象 进 程 的 两 个 实例 。 一 个 实例 的 myID= 
Pi, CntrID=G, 、in 王 el 、out 王 e 、 另 一 个 实例 的 myID 三 已 、CntrID 王 Cs 、in 王 es 、out 一 
es 在 每 个 情况 ， 模 型 通过 填写 动态 过 程 f 和 输出 映射 h 的 细节 来 完成 。 

控制 器 模型 

9-23 展示 了 在 多 跳 控制 网 络 中 对 控制 器 进行 建 模 的 时 间 进 程 。 控 制 器 使 用 变量 S' 
来 描述 对 被 控 对 象 状 态 的 估计 。 这 个 估计 值 初始 化 为 初始 被 受 控 对 象 的 状态 soo 

控制 器 的 输入 通道 是 in， 在 通道 in 上 它 接收 通过 网 络 传输 的 被 控 对 和 象 的 观测 输出 。 
我 们 知道 ， 消 息 用 目标 标识 符 进行 标记 。 当 控制 器 接收 发 送 给 自己 的 消息 时 ， 它 根据 当前 
估计 值 和 最 新 接收 到 的 被 控 对 象 的 观测 值 来 更 新 状态 估计 S 。 基 于 这 个 估计 值 ， 控 制 器 计 
算 控 制 输出 g(S') 的 更 新 值 以 便 发 送 回 被 控 对 象 。 将 这 个 值 插 入 队列 中 ， 该 队列 包含 在 
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输出 通道 上 传送 的 消息 。 


r 


real"S'=s,; clock x :=0; 
queue (real”)u:=null 


CI: -Empty (u) > (x < A) 


(real"x IDs)in | 4:2if(Second(in)=myID) then { 
S'=f(S(First (in)); 
if Empty (u) then x := 0; 
Enqueue (g(S’) ,u) } 
A,: Empty tu) Ax =A) 


(real™ x IDs) out 


{ out! (Dequeue (wu) ,plantID);x:=0} 





图 9-23” 和 多 跳 控制 网 络 中 的 控制 器 模型 


时 钟 变量 z 保证 每 A 个 时 间 单 位 只 有 一 个 消息 在 输出 通道 上 传送 。 为 了 实现 这 个 行 
为 ， 我们 选择 时 钟 不 变量 “如 果 有 输出 消息 正在 等 待 ， 那么 时 钟 不 应 该 超过 A”。 当 队列 
不 为 空 并 且 时 钟 等 于 A 时 ， 输 出 任务 是 使 能 的 。 当 在 输出 通道 上 发 送 一 个 值 时 ， 它 用 对 应 
被 控 对 象 的 标识 符 进行 标记 ， 用 参数 plantID 表示 。 输 出 任务 也 将 时 钟 重 置 为 0。 当 输入 
任务 产生 一 个 需要 传送 的 新 值 时 ， 需 要 在 输出 队列 中 排队 ， 然 后 检查 输出 队列 是 否 为 空 ， 如 
果 输 出 队列 为 空 ， 重 置 时 钟 为 0， 这 样 在 延迟 A 个 时 间 单 位 后 这 个 新 值 将 被 传送 出 去 。 

如 果 控 制 器 每 A 个 时 间 单 位 只 接收 一 个 输入 ， 那 么 队列 u 在 这 段 时 间 内 只 包含 一 个 消 
息 。 考 虑 包含 一 个 消息 的 队列 的 状态 ， 时 钟 SFA, 在 通道 in 上 发 送 消息 的 进程 已 经 准 
备 好 传送 这 个 消息 。 在 这 种 情况 下 ， 输 入 任务 A; 和 输出 任务 A. 都 是 使 能 的 ， 可 以 以 任何 
顺序 执行 。 无 论 它 们 以 什么 顺序 执行 ， 在 产生 的 状态 中 ， 时 钟 zx 为 0， 队 列 包 含 一 个 反映 
对 刚刚 接收 的 值 进行 响应 的 控制 器 输出 更 新 的 消息 。 如 果 以 高 于 每 A 个 时 间 单 位 一 次 的 速 
率 给 控制 器 提供 输入 ， 那 么 在 队列 u 中 等 待 的 消息 数 将 持续 增加 ， 这 种 情形 应 该 避免 。 

对 于 图 9-21 所 示 的 网 络 ， 我 们 需要 控制 器 进程 的 两 个 实例 ， 一 个 实例 的 myID= Gi、 
plantID=P,, in=e;, out= eu, H—-P RAM myID=C,, CntrID=P2, in=e, 
out=e,. TERA, AERE RAMA TT aR fr 和 控制 映射 g 的 细节 完成 。 

网 络 路 由 

给 定 被 控 对 象 的 集合 、 控 制 器 、 网 络 节点 和 它们 之 间 的 有 向 链 路 ， 我 们 需要 确定 消息 
从 每 个 被 控 对 象 到 对 应 的 控制 器 并 返回 的 路 由 。 这 个 问题 可 以 形式 化 描述 为 在 有 向 图 中 的 
多 组 源 - 目 的 对 之 间 的 路 径 计 算 问 题 ， 这 是 一 个 典型 的 网 络 路 由 问题 。 实 际 上 ， 我 们 喜欢 
所 有 的 路 由 都 互 不 相交 。 在 这 种 情况 下 ， 沿 着 不 同 路 由 的 消息 传送 可 以 独立 进行 。 另 外 ， 
更 短 的 路 由 意味 着 更 短 的 消息 传送 中 更 短 的 端 到 端 延迟 ， 因 此 更 短 的 路 由 是 更 好 的 。 

在 图 9-21 的 网 络 中 ， 我们 需要 确定 从 被 控 对 象 Pi 到 控制 器 Ni 、 从 控制 器 C 到 被 控 
WR PL. Mem EMR P: 到 控制 器 No. MERE C 到 被 控 对 象 Pe 的 路 由 。 这 些 路 由 的 
一 个 好 的 选择 是 : 

o 从 被 控 对 象 Pi 到 控制 器 Ci 的 4 跳 路 径 e;，e;，eneis。 

© 从 被 控 对 象 Ps 到 控制 器 Cs 的 3 跳 路 径 es es, eso 

© 从 控制 器 C 到 被 控 对 象 P, 的 4 跳 路 径 eig» Eiz» C9@1o 

. 从 控制 器 到 C: 被 控 对 象 P, 的 3 跳 路 径 el37 Elos Cro 

注意 这 和 4 条 路 由 确实 是 不 相交 的 ， 并 且 每 条 路 由 的 长 度 等 于 对 应 源 - 目 的 对 的 最 短 
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路 径 。 

使 用 经 典 的 图 搜索 算法 可 以 以 图 的 大 小 的 时 间 线 性 有 效 地 解决 在 有 向 图 中 的 一 个 源 - 
目的 对 之 间 的 最 短路 径 的 查找 问题 。 然 而 ， 查 找 有 向 图 中 的 多 个 源 -目的 对 之 间 不 相交 路 
径 不 能 有 效 地 解决 ， 这 个 问题 是 著名 的 NP 完全 问题 。 在 多 跳 控 制 网 络 中 ， 图 的 大 小 往往 
不 大 (在 现在 工业 过 程控 制 中 ， 一 个 典型 的 图 只 包含 10 个 节点 )， 因 此 使 用 穷尽 的 方法 找 
到 需要 的 路 由 也 是 可 能 的 。 当 多 个 不 相交 路 由 的 集合 是 可 能 的 时 ， 路 由 策略 应 该 喜欢 更 短 
的 路 径 。 然 而 ， 由 于 解决 方案 包含 多 个 源 - 目 的 对 的 路 由 ， 所 以 两 种 解决 方案 可 能 是 不 可 
比较 的 : 一 个 解决 方案 中 的 一 个 被 控 对 象 -控制 器 对 之 间 的 路 径 可 能 小 于 另 一 个 解决 方案 
中 的 ， 但 第 二 个 解决 方案 中 的 其 他 的 被 控 对 象 -控制 器 对 之 间 的 路 径 可 能 小 于 第 一 个 解决 
方案 中 的 。 在 这 种 情况 下 ， 在 不 同 解决 方案 中 的 选择 可 以 结合 控制 法 则 的 设计 对 整个 系统 
的 性 能 进行 分 析 。 

网 络 节点 建 模 

图 9-24 展示 了 使 用 时 间 过 程 对 通用 网 络 节点 进行 建 模 。 描 述 通 过 下 列 元 素 参 数 化 : 
1) 传人 链 路 数 &; 2) 传 出 链 路 数 i; 3) 将 消息 目的 IDs 集合 映射 为 传 出 链 路 的 路 由 表 
myRouteTable。 对 于 集合 IDs 中 的 目的 id， 如 果 myRouteTable[idj] 是 一 个 1~i HR 
7 ， 那 么 这 个 消息 应 该 在 第 j 个 传 出 链 路 上 传送 ， 如 果 myRouteTable[id] 为 0， 那 么 意味 
着 这 个 节点 不 准备 发 送 消息 到 目的 id， 这 个 消息 应 该 简单 地 忽略 。 









clockxf[1,.. := 0; 


1”x IDs)i 
(zeal"x IDs)in, queue (real"x IDs)y[1,...[]:= null 


(real™x IDs) out, 







CI: Niam Empty QU) > Gf] = A) 


Aj: {local a:=myRouteTable[Second (in, }; 
if a#0then{ 

if Empty (y[a]) then x[a] := 0; 

Enqueue (in, y[a]) }} 





(real”x IDs) in, (real” x IDs) out, 






A,: (“Empty Qf) A x] =4) > 
fout,= Dequeue (y[/]); x] := 0 } 





图 9-24 多 跳 控 制 网 络 中 的 网 络 节点 模型 


这 个 进程 有 一 个 输入 通道 in;(j 二 1，…，k)， 对 应 于 每 一 个 传人 链 路 ; 有 一 个 输出 通 
道 out; (j 二 1，*…，e)， 对 应 于 每 一 个 传 出 链 路 。 对 于 每 个 输出 通道 ， 该 进程 的 状态 有 一 个 
队列 : 输出 通道 out 上 传送 的 消息 存储 在 队列 yiJ. 

输入 通道 in; 上 接收 的 消息 由 输入 任务 Al 捕获 (j 二 1，…，k)。 当 该 进程 接收 一 个 消 
息 ， 它 使 用 消息 的 目的 地 址 (传人 消息 中 的 第 二 个 字段 ) 在 路 由 表 中 选择 应 该 在 哪 条 输出 通 
道上 传播 该 消息 。 如 果 路 由 表 项 目 为 0， 那 么 节点 不 接收 这 个 消息 ， 简 单 地 将 这 个 消息 丢 
弃 。 否 则 ,将 该 消息 插入 相应 的 队列 中 。 

每 个 输出 通道 上 每 A 个 时 间 单 位 只 发 送 一 个 消息 的 时 间 约 束 采 用 与 控制 器 模型 相似 的 
方式 实施 的 。 对 于 每 一 个 输出 通道 oub ， 进 程 有 一 个 时 钟 变量 x;。 对 于 所 有 j 二 1，…, L, 
时 钟 不 变量 保证 ， 如 果 一 个 输出 消息 正在 第 7 个 输出 通道 上 等 竺 传送， 那么 对 应 的 时 钟 变 
量 不 会 超过 A。 当 对 应 的 队列 y[jj 是 非 空 的 且 对 应 的 时 钟 变量 xz[jj 达 到 A 时 ， 那 么 对 应 
于 第 了 个 输出 通道 的 输出 任务 Ai 是 使 能 的 。 每 当 在 这 个 输出 通道 上 传送 一 个 消息 时 ， 对 
应 于 输出 通道 的 时 钟 重 置 为 0; 并 且 当 对 应 的 队列 为 空 时 ， 将 输入 任务 插 人 该 列 的 末尾 ， 


混成 系统 255 


这 时 时 钟 也 重 置 为 0。 

对 于 图 9-21 中 的 网 络 ， 我 们 需要 网 络 进 程 的 村 个 实例 。 对 于 对 应 于 网 络 节点 Ni 的 进 
程 ， 传 人 链 路 的 数量 二 2， 传 出 链 路 的 数量 i 二 3。 输 入 通道 in, 和 in. 分 别 重 命名 为 链 路 
BAe, 和 ez ， 输 出 通道 outi oute Mout, 分 别 重 命名 为 链 路 名 为 ee 、e。 和 el 。 根据 我 们 
选择 的 路 由 , .在 这 个 节点 ， 发 送 给 控制 器 Ci 的 消息 应 该 转发 到 链 路 ea ， 发 送 给 被 控 对 象 
P, 的 消息 应 该 转发 到 链 路 es 节点 Na 没有 出 现在 到 控制 器 C 和 到 被 控 对 象 P, 的 路 由 中 。 
因此 ， 节 点 N: 的 路 由 表 N: 应 该 表示 为 myRouteTable[P, ]=2, myRouteTable[P, ]= 
0, myRouteTable[C, ]=3, NS ae 0, 

系统 模型 

对 应 于 多 跳 控制 网 络 的 系统 是 所 有 被 控 对 象 、 控制 器 和 网 络 节点 的 实例 的 并 行 组 合 。 
如 果 每 个 链 路 至 多 在 一 个 路 由 中 出 现 ， 那么 通过 网 络 的 通 量 流 是 平稳 的 。 在 我 们 的 网 络 
中 ， 被 控 对 象 Pi 每 A 时 间 单 位 在 链 路 e* 上 发 送 一 个 输出 值 。 节 点 Ns 在 时 间 (z 十 A) 在 链 
路 er 传送 在 时 间 发送 值 z， 然 后 节点 Ni 在 时 间 (t 十 24) 在 链 路 oj 上 传输 ， 然 后 节点 N, 
在 时 间 (t 十 3A) 在 链 路 es 上 传输 。 控 制 器 Ci 更 新 它 的 内 部 估计 值 来 响应 这 个 值 ， 对 应 的 
控制 值 "通过 链 路 e 在 时 间 (t 十 44) 传 输 。 这 个 值 通过 节点 Ni 在 时 间 (z 十 5A) 在 链 路 es 上 
传输 ， 然 后 通过 节点 Ni 在 时 间 (t 十 6A) 在 链 路 e。 上 传输 ， 然 后 通过 节点 Ni 在 时 间 (z 十 
7A) 在 链 路 e 上 传输 。 对 于 其 后 长 度 为 A 的 时 间 间 隔 ，P; 使 用 这 个 值 作为 它 的 控制 输入 。 

当 不 同 的 路 由 之 间 没 有 共享 链 路 ， 每 个 控制 回路 都 可 以 单独 地 分 析 。 考 虑 包含 一 个 被 
控 对 象 和 它 的 控制 器 的 闭环 系统 。 这 个 系统 的 状态 包括 控制 器 维护 的 被 控 对 象 的 状态 变量 
S 和 它们 的 估计 值 S'。 假 设 从 被 控 对 象 到 控制 器 的 路 由 包括 妈 跳 ， 从 控制 器 到 被 控 对 象 
的 路 由 包含 k 跳 。 那 么 在 时 间 上 传输 的 被 控 对 象 观测 值 可 以 由 控制 器 在 时 间 [z 十 (十 1)Aj 接 
收 到 。 如 果 控 制 器 在 时 间 t 计算 一 个 新 的 控制 值 ， 那 么 被 控 对 象 在 时 间 [t 十 (ks 一 1)A] 可 以 
接收 到 。 

=A, 也 一 2A，… 是 处 理 消息 的 时 间 序 列 。 我 们 知道 在 每 一 个 时 间 间 隔 [ tia) 

中 ， 被 控 对 象 的 控制 输入 保持 为 常量 。 令 d 是 外 部 扰动 的 输入 信号 。 下 列 规 则 定义 了 系统 
的 状态 响应 : 

e 控制 器 估计 S'(1) 的 状态 信号 是 一 个 分 段 常量 信号 。 对 于 前 个 时 间 片 中 ， 控 制 器 
PE py 因此 ， 对 于 所 有 <ko RE s EVM. ti.) ASPB RA 

。 此 后 ， 在 每 个 时 间 t;， 对 于 i 宇 &， 控 制 器 接收 (& 一 1) 个 时 间 片 前 的 被 控 对 象 
ei, 也 就 是 ， 值 h(s; 一 i)。 因 此 ， 对 于 i 三 k1， 在 间隔 [4 ，tit1) 内 的 状态 s; 等 
FF yay h lsi ~ R419) 0 
被 控 对 象 状 态 SOBRES ES E— AIBA AS. FN a +k, 
till sate AS $e WC AE fy EAE AE, HFA <k tko AKEL, tia) 
中 的 状态 信号 SCO) EMF MGR AS s 和 动态 性 FS，w ，d) 的 初始 值 问题 的 解 以 
便 响 应 扰动 信息 dL i++)。 此 后 ， 在 每 个 时 间 志 ， 对 于 iki tk Wtr X A 
反映 ke 个 时 间 片 前 控制 器 计算 的 消息 。 因 此 ， 对 于 i 三 十 k,， 在 间隔 [Lt td P 
的 状态 信号 S(t) 对 应 于 初始 状态 s MAEHE SCS, gC) d) KIR he AE E 
解 。 也 就 是 说 ， 扰 动 通过 信号 <&CLa ，#5+1)) 给 出 ， 控 制 信号 保持 为 常量 ， 这 个 常量 
等 于 将 这 个 控制 映射 g 应 用 到 ke 个 时 间 片 前 的 估计 状态 所 得 到 的 值 。 

当 所 有 的 函数 fh. fA g 都 是 线性 函数 时 ， 第 6 章 阐述 的 线性 系统 的 分 析 技 术 可 
以 用 于 计算 状态 响应 的 闭 式 解 和 检查 系统 的 属性 (例如 稳定 性 ) 。 


412 


413 
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练习 9. 9: 重新 考虑 6. 33 节 的 巡航 控制 器 的 设计 。 图 6-18 展示 了 汽车 对 PI 控制 器 的 响应 。 在 练习 6. 21 
中 ， 对 于 输入 信号 6(D 王 [sin(z/5]/3( 单 位 为 弧度 )， 考 虑 在 图 6-8 中 的 有 梯度 路 面 上 对 汽车 模 
型 的 同一 个 控制 器 的 响应 上 。 现 在 我 们 假设 测量 速度 的 传感器 与 巡航 控制 器 通过 一 个 (时 间 触 
发 的 ) 多 跳 网 络 进行 通信 。 对 于 9. 2. 3 节 讨 论 的 模型 ， 假 设 汽车 的 输出 是 它 的 速度 ,控制 器 还 
是 6. 3. 3 节 使 用 的 PI 控 制 器 ， 这 里 从 传感器 到 控制 器 的 跳 数 是 3， 从 控制 器 到 被 控 对 象 的 跳 
数 是 2。 使 用 模拟 工具 (例如 MATLAB)， 使 用 以 下 参数 来 绘制 汽车 的 速度 图 : 初始 速度 
w 三 0， 质量 m 二 100kg， 摩 擦 系数 三 50， 重力 加 速度 g=9.8m/s’, 2# WE r=10m/s, E 
例 增 益 KK, 二 600， 积 分 增益 Ki 三 40， 网 络 的 时 间 步 长 A=0. 1s。 
练习 9. 10" : 假设 给 定 的 多 跳 控 制 网 络 有 两 个 被 控 对 象 、 两 个 控制 器 ， 使 得 被 控 对 象 P, 到 控制 器 C 的 
路 由 与 从 控制 器 C, 到 被 控 对 象 已 的 路 由 共享 一 条 链 路 。 事 实 上 ， 网络 是 这 样 的 ， 这 个 共 
享 是 不 可 避免 的 (包含 被 控 对 象 Po 和 它 的 控制 器 C. 的 路 由 是 不 相交 的 )。 如 果 我 们 使 用 与 
9. 2. 3 节 描 述 的 相同 的 被 控 对 象 、 控 制 器 和 网 络 节点 的 模型 ,那么 请 描述 整个 系统 的 行为 ， 
两 个 控制 回路 的 闭环 行为 受到 怎样 影响 。 讨 论 对 这 个 模型 可 能 的 修改 使 得 可 以 避免 不 希望 
的 行为 (提示 : 在 其 他 构件 保持 不 变 时 如 果 被 控 对 象 P, 每 2 个 时 间 片 发 送 它 的 输出 ， 那 么 
将 发 生 什么 ?)。 这 样 的 改变 怎样 影响 这 两 个 控制 回路 的 闭环 行为 ? 


9.3 线性 混成 自动 机 - 


在 第 7 章 中 ， 我 们 学 习 了 作为 时 间 进 程 子 集 的 时 间 自 动机 : 时 间 自 动机 约束 如 何 测试 
和 更 新 时 钟 变量 ， 这 些 约束 允许 使 用 差分 边界 矩阵 的 数据 结构 来 开发 符号 可 达 性 分 析 。 基 
于 相同 的 动机 ， 我 们 现在 考虑 混成 进程 对 子 集 的 限制 ， 称 为 线性 混成 自动 机 。 线 性 混成 自 
动机 可 以 视 为 时 间 自 动机 的 泛 化 。 当 时 间 自 动机 中 的 时 钟 变 量 只 能 与 常数 比较 并 重 置 为 0 
时 ， 使 用 仿 射 约束 来 测试 和 更 新 线性 混成 自动 机 的 连续 更 新 变量 。 在 时 间 动 作 中 ， 当 时 钟 
变量 以 速率 1 递增 时 ， 线 性 混成 自动 机 中 的 连续 更 新 变量 以 一 个 常量 速率 递增 ， 更 一 般 
地 ， 以 常量 边界 从 间隔 中 选择 的 速率 。 然 后 这 个 结构 允许 基于 多 面体 形式 表示 的 状态 集合 
的 符号 可 达 性 分 析 。 

在 我 们 开始 开发 这 个 模型 前 ， 我 们 需要 强调 这 里 的 形容 词 “线性 的 ”与 第 6 章 介绍 的 
“线性 系统 ”的 典型 模 是 不 同 的 。 在 线性 系统 中 ， 状 态 变 量 的 变化 率 是 一 个 系统 状态 的 线 
性 函数 ， 然 而 在 线性 混成 自动 机 中 ， 状 态 变量 的 变化 率 是 一 个 常数 或 者 受 限 于 一 个 常数 ， 
这 导致 状态 信号 是 时 间 的 线性 函数 。 


9.3.1 追赶 游戏 例子 


图 9-25 展示 了 一 个 两 个 玩家 的 追赶 逃避 者 游戏 的 模型 。 高 尔 夫 车 上 的 一 个 追捕 者 在 
一 个 圆 形 道路 上 追赶 一 个 离 他 40 米 远 的 逃避 者 。 这 个 车 可 以 以 最 高 6m/s 的 速度 沿 顺 时 针 
的 方向 追赶 ， 但 却 只 能 以 最 高 0. 5m/s 的 速度 沿 着 时 针 1G 
FERE, AAR ARH MOTE oh. W aag 之 
者 骑 着 单车 可 以 以 5m/s 的 速度 沿 任何 方向 运动 。 然 而 ， 
逃避 者 只 能 在 某 些 固定 的 时 间 点 上 内 决定 是 否 改变 方 ”05m 
向 ， 这 些 时 间 点 的 间隔 时 间 为 2 秒 。 逃 避 者 的 目标 是 远 
脱 追 赶 者 的 追捕 。 在 道路 上 的 固定 位 置 有 一 个 救援 车 可 
以 供 逃 避 者 逃脱 使 用 。 

逃避 者 使 用 了 一 个 简单 的 策略 : 如 果 两 个 玩家 都 顺 
着 顺 时 针 方 向 全 速 移动 ， 那 么 确定 逃避 者 是 否 将 要 登 上 
救援 车 ， 并 且 如 果 是 ， 选 择 顺 时 针 方向 移动 ， 否 则 选择 图 9-25 追赶 游戏 
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BEAMS Et Hy Ted. E 9-26 展示 了 使 用 扩展 状态 机 所 描述 的 逃避 者 的 具体 策略 。 


(p = 0) —p := 40 
(p = 40) p :=0 









(x=2) A (0<e<40) 
A (6e = 5p > 40) 


—x=0 


C1kW 





clockx:=2 
e:= eo 





. e=5 
05 <p <6 

EE po (0<e,p < 40) ^ 
(x < 2) 





(e=0 V e=40)? 


Rescued 
e=p=0 


(e=0 V e=40)? 





(x =2) \(<e< 40) 
A (6e - Sp < 40) 


—x:=0 


| @=2) \<e< 40) 
A (6e - 5p > 40) 
—x:=0 







CntrClkw 
é=-5 
-05< p<6 

(0<ep<40)/A 

(x < 2) 

(p = 0)—p := 40 

(p= 40) p= 0 

图 9-26 追赶 游戏 的 线性 混成 自动 机 


假设 静止 的 救援 汽车 在 圆 形 道路 上 的 位 置 为 0， 连续 更 新 变量 p 对 追捕 者 相对 于 救援 
汽车 位 置 顺 时 针 方 向 以 米 测 量 的 位 置 建 模 。 同 样 ， 连 续 更 新 变量 e 对 逃避 者 的 位 置 建 模 。 
时 钟 变 量 z 测 量 关 于 最 近 时 间 实 例 的 延迟 ， 当 逃避 者 选择 逃跑 这 个 方向 时 。 

有 3 个 模式 : 在 模式 clkW， 逃 避 者 在 道路 上 沿 着 顺 时 针 方 向 逃跑 ; 在 模式 Cntrclkw, 
逃避 者 在 道路 上 沿 着 道 时 针 方 向 逃跑 ; 在 模式 Rescued， 逃 避 者 到 达 救 援 汽 车 ， 游 戏 结束 。 

在 模式 CLkw 中 ， 逃 避 者 的 运动 可 以 通过 微分 方程 e =5 表示 。 关 于 说 明 追 捕 者 位 置 
的 变量 p 的 变化 ， 我 们 只 知道 在 两 个 方向 上 追捕 者 速度 的 边界 ， 这 可 以 用 微分 不 等 式 一 
0.5<p<6 表示 。 这 就 意味 着 在 持续 时 间 6 的 时 间 动 作 中 ，p 值 的 改变 量 等 于 6c， 其 中 c 
是 一 个 取 值 范围 为 [一 0. 5，6] 的 常量 。 标 记 模 式 Clkw HARARE O<p<40) A (0Se< 
40) 入 (zx 声 2) 是 连续 时 间 不 变量 ， 同 时 保证 所 有 3 个 连续 更 新 的 变量 在 时 间 动 作 中 在 它们 
的 取 值 范 围 内 。 

模式 cntrclkw 的 规约 与 clkw 的 类 似 。 唯 一 的 不 同 是 逃避 者 沿 着 逆 时 针 的 方向 逃 
H, 运动 由 微分 方程 6 =—5 表示 。 在 模式 Rescued 中 ， 游 戏 已 经 结束 ， 所 以 所 有 位 置 变 
量 都 保持 不 变 。 

判定 逻辑 由 模式 切换 来 描述 。 考 虑 模式 Clkw。 当 变量 e 的 值 等 于 0 或 者 等 于 40 时 ， 
逃避 者 已 经 到 达 了 救援 车 的 位 置 ， 到 模式 Rescued 的 切换 是 使 能 的 。 当 时 钟 变 量 x==2 
时 ,逃避 者 比较 自己 和 追捕 者 以 最 大 速度 顺 时 针 跑 到 救援 车 位 置 所 需 的 时 间 。 如 果 逃 避 者 
需要 的 时 间 (40 一 e)/5 小 于 追捕 者 需要 的 时 间 (40 一 p)/6， 那 么 模式 clkw 的 自 循环 的 守卫 
条 件 (6e 一 5p 二 40) 成 立 ， 模 式 继 续 是 Cl1kW; 否则 ， 从 模式 clkw 到 模式 cntrcikw 的 模 
式 切换 的 守卫 条 件 (6e 一 5p 三 40) 成 立 。 注 意 如 果 沿 着 顺 时 针 的 方向 追捕 者 在 逃避 者 和 救援 
车 之 间 ， 那 么 条 件 (e 二 p) 成 立 ， 逃 避 者 一 定 选择 切换 到 模式 cntrclkw。 在 任何 一 种 情况 
下 ， 时 钟 变量 z 都 重 置 为 0。 注 意 道路 是 圆 形 的 ， 因 此 位 置 0 和 位 置 40 是 相同 的 。 为 了 描 
述 这 个 情况 ， 如 果 变 量 p 的 值 递 增 并 达到 40， 那 么 它 必须 重 置 为 0。 对 称 地 ， 如 果 变 量 p 







(x=2) 人 (0<e<40) 
A (6e - Sp < 40) 


—x:=0 
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的 值 正在 递减 且 达 到 0， 那么 它 必须 更 新 为 40。 这 说 明了 模式 Clkw 的 左 自 循 环 。 

从 模式 cntrclkw 开始 的 模式 切换 是 对 称 的 。 

追捕 者 的 初始 位 置 为  ， 逃 避 者 的 初始 位 置 为 。 时 钟 变 量 的 初始 值 为 2， 这 样 逃 避 
者 必须 在 初始 情况 时 决定 向 哪个 方向 运动 。 

在 执行 过 程 中 ， 如 果 系 统 模式 曾经 变 成 Rescued， 那 么 逃避 者 到 达 救 援 车 就 赢得 了 
比赛 。 如 果 属 性 (e 王 妃 ) 在 某 时 成 立 ， 那 么 逃避 者 就 失败 。 这 个 执行 可 以 在 模式 Cl1kw 和 模 
式 Cntrclkw 之 间 切 换 ， 在 属于 这 个 执行 的 所 有 状态 中 属性 (e 关 Pp) 一 直 成 立 ， 这 时 逃避 者 
获得 胜利 。 

为 了 举例 说 明 模型 的 行为 ， 考 虑 初始 位 置 po 三 1 Ale. =20 的 情形 。 下 面 列举 了 一 个 追 
捕 者 从 初始 状态 开始 赢得 比赛 的 一 个 例子 。 按 顺序 列 出 了 模式 、 变 量 e、p 和 zz 的 值 : 


2 
(C1kW,20,1,2) 一 > (C1kW;,20,1,0) —> (ClkW,30,0,2) 一 > 
2 
(ClkW,30,40,2) ike (CntrClkW,30,40,0) _=— (CntrClkw,20,40,2) a 
2 0.17 
(CntrClkw,20 +40 ,0 六 一 一生 (CntrClkw,10,39 s2) = (Cntrc1lkw,10,39 10) m 


(CntrClkW,9. 17,40,0. 17) > (cntrC1kW,9.17,0,17) > (CntrClkW,5,5,1) 

ERAP, MA PIN HB 2s, ERNEA ED, R MAE 
eo =30 Al p=40, RIA VERE ZT ATE, RI AIBA RA, Boh BI 
位 置 结果 e=20 和 p=40, VEE ARAMA, RANI hw eB, AR 
移动 到 位 置 e==10 和 p=39. RA. VME A AT eR, SRR SAL EP RB EL 
最 终 两 个 玩家 在 5m 处 相遇 。 


9.3.2 形式 化 模型 


线性 混成 自动 机 的 形式 化 定义 是 对 应 的 时 间 和 混成 进程 定义 的 变 体 。 线 性 混成 自动 机 
包含 一 个 异步 过 程 ， 这 个 异步 过 程 的 状态 变量 是 cont 类 型 ， 在 时 间 动 作 中 连续 更 改 。 在 
时 间 动 作 中 ， 假 设 所 有 的 输入 和 输出 变量 都 是 离散 更 新 的 。 使 用 连续 时 间 不 变量 和 比率 约 
束 来 说 明 连 续 更 新 的 状态 变量 的 动态 性 。 

连续 时 间 不 变量 是 一 状态 变量 的 布尔 表达 式 ， 只 有 在 时 间 动 作 中 期 间 访 问 的 所 有 状态 
满足 该 不 变量 时 该 时 间 动 作 才 是 允许 的 。 对 于 图 9-26 中 的 系统 ， 连 续 时 间 不 变量 为 : 

(mode = Rescued) V [(O<p<40) A (0<e<40) A (a <2)] 

线性 约束 说 明 与 涉及 cont 类 型 变量 的 所 有 测试 和 更 新 都 是 仿 射 表达 式 。 更 准确 地 

说 ， 给 定 变量 t, T2, 0o Tey WIM REE WM az, tax + ta, ~a 的 表达 式 ， 


NE doi arg ”9 An 是 (整数 或 者 实数 ) 常 数 ， 这 里 一 是 一 个 比较 运算 符 ， 亿 司 以 是 生 、 
科 、 三 、 二 、 宇 中 的 任何 一 个 。 念 射 赋值 是 形 如 x, ax tart Head 的 表达 式 ， 这 
Hay, ais > an 是 (整数 或 者 实数 ) 常 数 。 在 线性 混成 自动 机 中 ， 当 一 个 关于 连续 更 新 变 


量 的 表达 式 出 现在 守卫 条 件 、 任 务 的 更 新 代码 或 者 连续 时 间 不 变量 中 时 ， 它 必须 是 仿 射 测 
试 ， 连 续 更 新 变量 的 每 个 赋值 都 是 仿 射 赋值 。 
比率 约束 是 关于 连续 更 新 变量 和 离散 状态 变量 的 导数 的 布尔 表达 式 。 关 于 导数 的 表达 
式 就 是 仿 射 的 。 对 于 图 9-26 中 的 追赶 游戏 ， 比 率 约束 是 : 
(mode = CIkW) A (é =5) A (—0.5<p<6) A (@#=1) 
V (mode = Cntrclkw) A (é =—5) A (-0.5<p<6) A (4 =1) 
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V (mode = Rescued) A (é=0) A (p=0) A (@=1) 

为 了 执行 状态 s 中 的 时 间 动 作 ， 我 们 选择 比率 失 量 r"， 也 就 是 说 ， 给 定 一 个 常量 x,， 
对 于 每 个 连续 更 新 的 变量 z， 当 使 用 导数 WE r ERA s 中 进行 评估 时 满足 比率 约束 。 
给 定时 间 值 :， 令 s 十 tr 表示 状态 ;使 得 状态 ;中 的 离散 变量 的 值 等 于 状态 s 中 它 的 值 ， 状 
AS s' 中 的 连续 更 新 变量 z 的 值 等 于 s(z) 十 tr,。 如 果 状 态 stor 满足 连续 时 间 不 变量 (对 于 
时 间 间 隔 Lo，6] 中 的 每 个 时 间 值 1)， 那 么 持续 时 间 6 的 时 间 动 作 是 可 执行 的 ， 并 且 从 时 间 
动作 产生 的 状态 是 状态 stor. 

形式 化 定义 总 结 如 下 : 


线性 混成 自动 机 

线性 混成 自动 机 HP 包括 1) 一 个 异步 进程 PP， 其 中 它 的 某 些 状态 变量 是 cont 类 
型 ， 这 些 变量 只 出 现在 了 的 任务 的 守卫 和 更 新 中 的 仿 射 测试 和 仿 射 赋值 中 ; 2) 一 个 连 
续 时 间 不 变量 CI， 它 是 状态 变量 S 上 的 一 个 布尔 表达 式 ， 其 中 cont 类 型 的 变量 只 出 
现在 仿 射 测试 中 ; 3) 一 个 比率 约束 RC， 它 是 一 个 关于 离散 状态 变量 和 连续 更 新 状态 
变量 的 导数 的 布尔 表达 式 ， 这 些 变 量 只 出 现在 仿 射 测试 中 。 线 性 泥 成 自动 机 HP 的 输 
入 、 输 出 、 状 态 、 初 始 状 态 、 内 部 动作 、 输 入 动作 和 输出 动作 与 异步 进程 已 的 相同 。 
给 定 状 态 s 和 一 个 实 值 时 间 8 二 0， 对 于 包含 常量 一 (对 于 每 个 更 新 状态 变量 x) 的 比率 


矢量 +r，s 一 > 十 6r HP 的 时 间 动作 ， 如 果 1) 满足 RC 表达 式 ， 当 对 于 每 个 连续 更 
新 变量 r, BA ir 并 且 每 个 离散 变量 z= 二 s(x); 2)- 对 于 所 有 O<t<0, RAS stor 
| 满足 表达 式 CI. 


注意 在 一 个 时 间 动 作 中 ， 每 个 连续 更 新 变量 x 以 常数 比率 演变 ， 因 此 ， 在 时 间 动 作 的 
持续 时 间 中 ， 信 号 元 是 时 间 的 线性 函数 。 相 反 ， 在 线性 系统 中 ， 一 个 典型 的 微分 方程 形 如 
区 二 ax， 对 应 的 信号 区 (2) 二 ze” 是 时 间 的 指数 函数 。 

在 追赶 游戏 的 例子 中 已 经 看 到 ， 比 率 约束 可 以 用 来 说 明 变 量变 化 率 的 边界 。 线 性 混成 
自动 机 的 定义 也 允许 约束 条 件 包 含 两 个 变量 的 比率 。 例 如 ， 如 果 变 量 (z，2) 表 示 机 器 人 在 
平面 上 的 位 置 ， 那 么 比率 约束 

















Q<2<2) A @=y) 

说 明 机 器 人 沿 着 对 角 线 (根据 约束 条 件 工 =y) 以 常量 速度 移动 ， 因 为 我 们 知道 一 个 下 限 和 
一 个 上 限 ( 根 据 约束 条 件 <2 <2), 

关于 线性 混成 自动 机 的 执行 和 可 达 状 态 的 概念 可 以 采用 与 混成 过 成 程 相同 的 方式 
EM 

请 注意 ， 因 为 线性 混成 自动 机 描述 中 的 比率 约束 允许 微分 不 等 式 ， 所 以 在 语法 上 它 不 
是 一 个 混成 进程 。 然 而 ， 混 成 进程 的 模型 比 线性 混成 自动 机 更 严格 更 有 表现 力 ， 因 为 它 
通过 引入 对 应 于 离散 且 不 确定 性 更 新 的 比率 的 辅助 变量 ， 它 简单 地 获得 与 线性 混成 自动 
机 相同 的 行为 。 例 如 ， 为 了 获得 图 9-26 中 的 自动 机 描述 中 的 微分 约束 (一 0.5 委 2 委 6)， 
我 们 引入 一 个 real 类 型 的 离散 变量 x,， 在 模式 切换 过 程 中 使 用 不 确定 性 赋值 ” := 
choose{v| 一 0. 5 人 vw<6} 设 置 它 的 值 ， 并 且 用 线性 微分 方程 p=r, 来 说 明 状 态 变 量 p 的 
动态 性 。 
练习 9. 11: 考虑 图 9-27 中 的 描述 恒温 器 的 线性 混成 自动 机 。 请 描述 这 个 模型 的 执行 ， 并且 阐 述 这 个 模型 

与 图 9-1 中 的 混成 进程 的 区 别 。 


417 


418 


419 
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图 9-27 恒温 器 的 线性 混成 自动 机 模型 


练习 9. 12" : 使 用 线性 混成 自动 机 设计 另 一 个 逃避 者 策略 ， 要 求 这 个 策略 比 图 9-26 中 的 策略 “更 好 ”。 
仍然 要 求 逃 避 者 每 2 秒 做 一 次 决策 ， 一 且 决 定 是 顺 时 针 运 动 还 是 着 时针 运 动 ， 它 都 在 这 个 
方向 全 速 运动 。 因 此 ， 与 图 9-26 中 的 自动 机 相 比 ， 对 改进 的 策略 建 模 的 线性 混成 自动 机 的 
唯一 允许 的 改变 是 在 用 于 决定 是 顺 时 针 运动 还 是 道 时 针 运 动 的 测试 改变 66e 一 55 之 40) 中 。 
改进 的 策略 应 该 让 逃避 者 赢得 游戏 ， 起 始 位 置 eo 二 20 和 po 二 1。 你 的 策略 对 于 逃避 者 是 最 
佳 策略 吗 (也 就 是 说 ， 对 于 每 一 个 初始 位 置 ， 如 果 你 的 策略 最 终 逃 避 者 输 ， 那 么 其 他 的 每 一 
个 策略 都 会 导致 逃避 者 输 )? 


9.3.3 符号 可 达 性 分 析 


现在 我 们 基于 符号 可 达 性 分 析 设 计 一 个 线性 混成 自动 机 的 不 变量 验证 问题 的 算法 。 这 
个 高 级 的 算法 与 3. 4 节 讨 论 的 算法 一 样 。 为 了 实现 这 个 符号 搜索 算法 ， 我 们 需要 一 个 区 域 
表示 ， 也 就 是 说 ， 对 于 状态 集合 ， 它 符合 线性 混成 自动 机 的 上 下 文 。 为 此 ， 我 们 假设 与 图 
9-26 中 的 追赶 游戏 一 样 ， 所 有 的 离散 变量 都 有 枚 举 值 。 那 么 这 个 线性 混成 自动 机 只 有 有 限 
个 离散 状态 。 这 个 可 达 性 算法 通过 使 用 仿 射 约束 以 符号 方式 枚 举 它们 的 值 和 连续 更 新 变量 
来 分 析 离 散 变量 。 
仿 射 公式 
令 双 是 变量 的 集合 ， 可 以 将 它 分 解 为 两 个 集合 : 枚 举 类 型 的 离散 变量 集合 Vs 和 re- 
al 类 型 的 连续 更 新 变量 V.。V 上 的 状态 包含 一 个 将 值 赋予 所 有 枚 举 类 型 变量 赋值 的 离散 
状态 和 一 个 |V. | 维 实 值 失 量 。 在 (V.，Vs) 上 的 区 域 4 使 用 V. 上 的 仿 射 约束 和 Vs 上 的 等 
式 约 束 采 用 析 取 范式 建立 的 公式 来 表示 。 
形式 上 ， 类 型 AffForm 可 用 变量 集合 (V.，Vz) 来 参数 化 ， 它 包含 下 述 规则 定义 的 仿 
射 公式 : 
e (V-，V2) 上 的 原子 仿 射 公 式 是 一 个 形 如 (z=d) 的 等 式 ， 其 中 工 是 Vv 中 的 离散 变 
E, d 是 属于 变量 xz 类 型 的 常量 或 者 形 如 aizi 十 aszi 十 … 十 aszv 一 ao 的 仿 射 约束 ， 
Tiy Try °°» Ta Æ V. 中 的 实 值 变量 ， Go» Gis ”9 Ay 是 实数 ， 之 是 一 个 比较 运算 
符 ， 可 以 是 去 、 科 、 王 、>、 二 中 的 任何 一 个 。 
© (V.，Vu) 上 的 合 取 仿 射 公式 9g 是 pi 人 gs 人 … 人 gps WAR, HPAP p, ps s 
ge EV.» Va) ER RFRA. 
e (V., Vs) 上 的 仿 射 公式 A 是 析 取 pi Vo VeV oq， 其 中 取 项 Pry Par "2 Pi 是 
(V.，V4) 合 取 仿 射 公式 。 
注意 仿 射 公式 的 语法 不 允许 显 式 的 否 运算 , 但 可 以 表示 它 。 例 如 ， 如 果 常 量 d, 
dz, **,d, 都 是 属于 变量 z 类 型 的 值 而 是 值 4， 那 么 约束 条 件 一 (zx 二 d) 等 价 于 仿 射 公式 
(zx 二 di1)V (=d) V = V (z 二 ds。)， 这 里 Zz 是 Vi 中 的 变量 ,， 且 dd 是 一 个 常量 。 约束 条 件 
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laiz Hartt aE pao) FR TFAAR ax, ta,z,++a,2,>0, XE ay, ays 5 
a, EKM, Ax, rm, s ze 是 Vi 中 的 实 值 变量 。 

线性 混成 自动 机 的 符号 表示 

已 经 定义 了 仿 射 公式 的 表示 ， 我 们 现在 可 以 使 用 这 个 符号 表示 来 对 线性 混成 自动 机 的 
多 个 构件 进行 编码 。 对 于 一 个 给 定 线性 混成 自动 机 HP, 假设 S 表示 离散 变量 的 集合 ，S. 
表示 连续 更 新 实 值 变量 的 集合 。 我 们 现在 重点 关注 集合 S 中 的 每 个 变量 有 一 个 枚 举 类 型 
的 情形 。 对 于 图 9-26 的 追赶 游戏 ,集合 Ss 包含 变量 mode, KAS. 包含 变量 e。、p 和 工 。 

自动 机 HP 的 初始 状态 集合 由 (S.，Sz) 上 的 AffForm 类 型 的 公式 Init 表示 。 对 于 和 追 
赶 游戏 ， 假 设 逃 避 者 的 初始 位 置 eo 二 20， 追 捕 者 的 初始 位 置 po 二 10， 公 式 Init $F: 

(mode = C1kW) A (z= 2) A (e = 20) A (p = 10) 

对 应 于 自动 机 HP 的 异步 进程 的 迁移 过 程 由 (S.US:，SuUSs) 上 的 ARftfForm 类 型 的 
公式 Trans 表示 。 这 里 ， 对 于 每 个 变量 zx， 它 的 准备 版 本 却 表 示 执 行 了 3.4 节 阐述 的 迁移 
后 的 变量 z 的 值 。 这 个 迁移 关系 捕获 基本 异步 进程 的 所 有 输入 、 输 出 和 内 部 动作 ， 因 此 是 
自动 机 HP 的 所 有 离散 迁移 的 集合 。 对 于 图 9-26 的 追赶 游戏 ， 公 式 Trans 对 于 自动 机 HP 
的 每 个 模式 切换 有 一 个 析 取 项 。 对 于 距离 ， 对 应 于 从 模式 Cl1kw 到 模式 Cntrclkw 的 模式 
切换 的 析 取 项 是 : 

(mode= ClkW) A (z= 2) A (e>0) A (e< 40) A (6e—5p< 40) A 
(mode’ = CntrClkwW) A (x = 0) A (e’—e=0) A (p'’— p=0) 

自动 机 HP 的 连续 时 间 不 变量 由 (S.，S.) 上 的 AffForm 类 型 的 公式 CI 表示 。 追 赶 游 
戏 的 连续 时 间 不 变量 表示 为 : 

(mode = Rescued) V [(e>0) A (e <40) A (p>0) A (p< 40) A (a < 2)] 

自动 机 HP 的 比率 约束 由 (S.，Sz) 上 的 AffForm 类 型 的 公式 RC 表示 。 这 里 ， 对 于 
每 个 实 值 变量 zx， 实 值 变 量 z 表示 xz 随 着 时 间 的 变化 率 。 追 赶 游戏 的 比率 约束 表示 为 : 

[(mode = clkw) A (e= 5) A ($2=0.5) A (pON =l] 
V [Gmode = CntrclkwW) A (é =—5) A (p>— 0.5) A (6<6) A (= 1)] 
V [Gmode = Rescued) A (€=0) A (p=0)A (@=1)] 

总 之 ， 具 有 离散 状态 变量 S, 和 连续 变化 状态 变量 S. 的 线性 混成 自动 机 HP 的 符号 表 
示 ， 包 含 1) (Se, SHER AffForm 类 型 初始 化 公式 Init; 2) (S.U S2, SUSER Aaf- 
fForm 类 型 的 公式 Trans; 3) (S.，Su) 上 的 AEfFozm 类 型 的 连续 时 间 不 变量 CI; 4)(S., 
Ss) 上 的 AffForm 类 型 的 比率 约束 RC。 这 样 的 描述 可 以 通过 自动 编译 用 于 自动 描述 线性 
混成 自动 机 的 源 语言 得 到 。 

仿 射 公式 的 运算 

3.4 节 讨 论 的 符号 搜索 技术 需要 对 区 域 数据 类 型 的 运算 : 并 集 Disj、 交 集 Conj, # 
Diff， 空 集 测 试 TsEmpty， 存 在 量词 Exists 和 变量 重 命名 Rename。 所 有 的 这 些 运 算 
可 以 有 效 地 应 用 于 如 下 仿 射 公式 的 AffForm 类 型 的 数据 。 

对 于 两 个 仿 射 公式 A 和 B， 并 集 Disj(A，B) 是 公式 AVB， 因 为 它 保证 是 AffForm 
类 型 。 

考虑 两 个 仿 射 公 式 A MB, MM conj(A，B) 的 公式 不 能 简单 地 看 作 合 取 AAEB， 因 
为 在 要 求 的 析 取 范式 中 它 不 需要 是 仿 射 公式 。 然 而 ， 逻 辑 析 取 和 合 取 的 分 配 性 可 以 用 于 实 
现 所 要 求 的 运算 。 如 果 公 式 A 等 于 pi1V ps V…V qs， 其 中 每 一 个 o 都 是 一 个 合 取 仿 射 公 
式 ， 公式 B GF pı V pz VeV Pas 其 中 每 一 个 i 都 是 一 个 合 取 仿 射 公式 ， 那么 Conj (A, 
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也 ) 是 仿 射 公式 : 
(gi A p) 


1<i<a.1<j<o 


注意 每 个 析 取 项 (gy; Ay ) 都 是 一 个 合 取 仿 射 不 变 式 ， 并 且 由 此 产生 的 公式 的 大 小 以 平 
方 增长 ， 因 为 它 有 a*5b 个 析 取 项 。 

两 个 仿 射 公式 A 和 B 的 差 集 运算 Diff(A，B) 可 以 通过 重 写 来 实现 ， 这 个 留 作 练习 。 

剩 下 的 运算 可 以 通过 简单 的 文本 代替 来 实现 。 对 于 仿 射 公式 和， 为 了 将 A 中 的 变量 z 
重 命名 为 y，y 没有 在 A 中 出 现 过 ， 通 过 将 公式 A 中 每 个 x Ay 替换 得 到 Rename(A，z， 
a 

为 了 实现 运算 IsEmpty, ES Sa) EW AffForm 类 型 的 公式 A， 我 们 需要 检查 
是 否 可 以 给 这 个 变量 赋值 使 得 满足 公式 A， 假设 公式 A 是 析 取 giV ps V…V ps， 其 中 每 一 
个 gp 都 是 合 取 仿 射 公式 。 那 么 当 满 足 其 中 一 个 o 满足 时 公式 A 是 可 满足 的 ， 并 且 每 个 子 
公式 的 可 满足 性 都 可 以 单独 地 检查 。 因 此 ， 主 要 关注 测试 合 取 仿 射 公式 的 满足 性 就 足够 
了 。 如 果 它 包括 两 个 形 如 (z= 二 4d) 和 (zx 二 qd" ) 的 合 取 ， 那 么 不 能 满足 公式 ， 其 中 x 是 离散 变 
E, 4 和 d 是 不 同 的 常量 。 否 则 ， 包 含 离散 变量 的 约束 不 影响 可 满足 性 。 因 此 ， 检 查 仿 射 
公式 满足 性 的 核心 计算 问题 简化 为 检查 原子 仿 射 约束 的 合 取 的 可 满足 性 ， 也 就 是 说 ， 检 查 
形 如 pi 人 gz 人 … A gx 的 公式 的 可 满足 性 ， 其 中 p 是 形 如 az 十 az 十 … 十 az 一 ao 的 一 
个 仿 射 约束 。 检 查 这 样 的 仿 射 约束 的 合 取 的 可 满足 性 是 具有 很 好 理解 理论 基础 和 多 种 有 效 
实现 的 线性 程序 设计 中 的 经 典 问题 。 

量词 消去 

最 后 ， 让 我 们 把 重点 放 在 存在 量词 的 运算 上 : 给 定 一 个 仿 射 公式 A MBs, RNG 
要 计算 B=Exists(A，x) 的 结果 ,使 得 公式 B 是 AffForm 类 型 ，B 不 包含 变量 +， 同 
时 当 存 在 z 的 一 个 值 为 c 使 得 状态 sLzx->cj 满 足 公式 A 时 ， 状 态 ; 满足 公式 B。 假 设 变 量 zx 
量化 为 一 个 实 值 变 量 ， 公 式 A 是 合 取 p Ap A 人 gp， 其 中 gi BBM aiz tax, t+ 
An Xn ~ao 的 一 个 仿 射 约束 。 这 种 情形 捕获 问题 的 可 计算 本 质 ， 一 般 的 处 理 情况 留 作 练 习 。 

H BJE AN aiz Harz: + +H a, ~a 的 合 取 项 Pis 其 中 变量 r=. MRAM a, =0 
(也 就 是 说 ， 消 去 的 变量 不 出 现在 合 取 项 o 中 )， 那 么 w 作为 合 取 项 直接 出 现在 结果 B 
中 。 如 果 系 统 a, 是 非 零 的 ， 那 么 考虑 表达 式 o= lao art atn) a WR BIB 
G~#H<, HR a 是 正 的 ， 那 么 我 们 重 写 约束 o 为 (x 二 e;)， 在 这 种 情况 下 ， 表 达 式 
e 是 变量 z 的 值 的 上 界 。 如 果 比 较 运算 一 是 三 ， 且 系数 a 是 负 的 ， 那么 我 们 重 写 约束 
gi He), ERAF, KAR e; 是 变量 zx 的 值 的 下 界 。 其 他 情形 类 似 ， 但 可 以 
导致 形 如 (x 二 ei) 的 严格 下 界 约束 和 形 如 (x 二 e;) 的 严格 上 界 约束 。 现 在 如 果 我 们 简单 地 
断言 z 的 每 个 下 界 必须 小 于 z 的 每 个 上 界 ， 那 么 我 们 可 以 从 该 约 东 中 消去 变量 x. fil 
如 ， 约 东 (z 宇 e;) 和 (xe) 导致 隐 式 约束 (e; 三 e;)， 约 束 (z 宇 e:) 和 (zx 过 ei) 导 致 隐 式 约束 
(Ce 过 ae)。 如 果 所 有 这 样 的 隐 式 约束 的 合 取 都 是 可 满 可 足 的 ,那么 工 下 界 的 最 大 值 不 会 
超过 工 上 界 的 最 小 值 ， 在 这 种 情况 下 ， 有 可 能 找到 满足 A 中 的 所 有 原始 约束 的 工 的 值 。 
每 个 形 如 (ee 委 e) 和 (ee 二 e) 的 隐 式 约束 都 可 以 简单 地 重 写 ， 因 此 它 是 一 个 原子 仿 射 公式 
并 给 B 贡 献 了 一 个 合 取 项 。 

为 了 解释 量词 消去 的 过 程 ， 考 虑 如 下 给 出 的 合 取 仿 射 公式 A: 

(22+ 3y—5z<7) A (6y+8z2>—2) A (—zt+y—7z<10) A 2re+2< 0) 

第 一 个 合 取 项 给 出 了 严格 上 限 约束 zx<(7 一 3y 十 5z)/2， 第 二 个 合 取 项 没有 约束 z+， 第 三 
个 合 取 项 给 出 了 下 界 约 束 xz 宇 (一 10 十 y 一 7z)， 第 四 个 合 取 项 给 出 了 上 界 约束 z 志 一 z/3。 
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我 们 通过 要 求 每 个 下 界 不 超过 每 个 上 界 并 且 保 留 第 二 个 合 取 项 来 消去 ， 得 到 : 
(6y+8z >—2) A [(—10+ y—7z) <— 2/3] A [10+ y—7z) 一 (7 一 3y 十 5z)/2] 
我 们 然后 重 写 最 后 两 个 合 取 项 ， 这 样 期 望 的 仿 射 公式 是 : 
(6y + 82 >— 2) 人 Cy —202 = 30) A (57 19z< 27) 
注意 在 结果 B 中 的 原子 约束 数 是 输入 公式 A 中 的 原子 约束 数 的 平方 。 如 果 我 们 重复 
使 用 存在 量词 ， 那 么 约 东 数 以 指数 增长 。 
图 像 计 算 : 离散 迁移 
符号 搜索 的 核心 是 图 像 计算 : 给 定 关 于 状态 变量 的 区 域 A， 我们 希望 计算 包含 使 用 一 
个 迁移 可 以 从 A 的 所 有 状态 到 达 所 有 状态 的 区 域 。 如 果 我 们 关注 离散 迁移 ， 那 么 该 图 像 计 
算 的 算法 就 与 3.4 节 讨 论 的 算法 相同 。 给 定 一 个 仿 射 公式 A， 我 们 首先 将 它 与 Trans 进行 
连接 ， 包含 所 有 离散 转换 的 转换 前 和 转换 后 的 区 域 。 交 和 集 conj (A，Trans) 是 SUS’ 上 的 
区 域 ， 它 包含 所 有 从 A 中 的 状态 发 出 的 所 有 离散 迁移 。 然 后 我 们 通过 存在 量化 S 中 的 变 
量 将 结果 投影 到 初始 状态 的 变量 集合 S 。 将 每 一 个 初始 变量 x' 重 命名 为 z 给 出 我 们 需求 
的 区 域 。 因 此 ， 具 有 迁移 公式 Trans 的 线性 混成 自动 机 HP 的 区 域 A 的 离散 后 图 像 定 
义 为 : 
DiscPost(A,Trans) = Rename(Exists(Conj(A,Trans),S),S',S) 
对 于 追赶 游戏 的 例子 ， 初 始 区 域 的 离散 后 图 像 可 以 使 用 上 式 获得 。 计 算 结 果 是 仿 射 公 
式 Ai : 
DiscPost(Init;Trans) = A; (mode = ClkW) A (x4 = 0) A (e = 20) A (p = 10) 
图 像 计算 : HATS 
我 们 下 一 个 目标 是 捕获 从 混成 自动 机 HP 的 给 定 区 域 中 的 状态 开始 的 时 间 动 作 产生 的 
所 有 状态 集合 的 符号 表示 。 令 A 表示 混成 自动 机 的 一 个 区 域 ，CI 是 连续 时 间 不 变量 ，RC 
是 它 的 比率 约束 。 区 域 A 的 时 间 后 像 BB 包括 所 有 的 状态 *， 使 得 存在 一 个 属于 区 域 A 的 
状态 S， 持 续 时 间 长 $ 和 比率 矢量 r 使 得 1) 状态 * 和 比率 r 满足 RC 公式 ; 2) 对 于 每 个 0 
<td, RAS str 满足 不 变量 CI; 3) 最 后 状态 SF std. AT MPABM, RINE 
续 时 间 不 变量 CI 定义 了 一 个 凸 集 : 如 果 两 个 状态 满足 公式 CI， 那 么 位 于 连接 这 两 个 状态 
部 分 上 的 每 个 状态 也 满足 公式 CI。 这 是 一 种 典型 情况 ， 并 且 在 追赶 游戏 例子 中 成 立 。 在 这 
种 情况 下 ， 条 件 2) 可 以 被 更 简单 的 条 件 “ 在 时 间 动 作 的 开始 和 结束 的 状态 和、 都 满足 
Cl” 替代 。 
公式 A 使 用 离散 变量 S: 和 连续 更 新 变量 S.。 为 了 得 到 需要 的 结果 ， 我 们 使 用 辅助 变 
Ht Sl 表示 在 时 间 动 作 结束 的 连续 更 新 变量 的 值 ， 变 量 inc 表示 时 间 动 作 的 持续 时 间 ( 假 设 
inc 不 是 混成 自动 机 的 变量 ) 。 我 们 首先 构建 变量 S, Se Si 和 int 上 的 公式 B 。 这 个 公 
式 捕获 从 区 域 A 中 开始 的 所 有 时 间 迁 移 。 
因为 区 域 B 捕获 从 区 域 A 中 开始 的 所 有 时 间 动 作 ， 所 以 A 是 B' 中 的 一 个 合 取 项 。 为 
了 保证 连续 时 间 不 变量 在 时 间 动 作 的 开始 成 立 ， 公 式 CI 也 是 B' 的 一 个 合 取 项 。 为 了 保证 
连续 时 间 不 变量 在 时 间 动 作 的 结束 成 立 ， 通 过 将 每 个 连续 更 新 变量 工 重 命名 为 工 ' 获 得 的 公 
IÙ Rename(Cl, Sc, S’) th B' 的 一 个 合 取 项 。 
现在 需要 一 个 约束 表示 变量 的 比率 根据 比率 约束 来 选择 ， 并 且 连 续 更 新 变量 z 值 的 增 
Hh (a! 一 z) 等 于 持续 时 间 变 量 int 的 值 乘 以 z 的 变化 率 。 这 个 约束 的 直接 编码 使 用 乘法 运算 ， 
因此 产生 非 线 性 约束 。 我 们 通过 利用 比率 公式 RC 的 特殊 结构 来 避免 这 个 非 线 性 约束 : 形 如 
Catı 十 @zzz 十 … 十 asz n ~ao) HISE TADIA RRA Ka, E Sa) Ha (2) a as 


424 


425 


426 





264 第 9 章 





(zs 一 zi)~aoinc] 蔡 代 。 注 意 这 个 改进 的 约束 等 价 于 原始 约束 ， 因 为 一 个 变量 的 变化 i: 
的 常数 比率 等 于 值 中 的 变化 除 以 持续 时 间 ， 可 以 用 表达 式 (z' 一 zi)/inc 表示 。 更 具体 地 ， 
给 定 (S.，S,) 上 的 仿 射 公式 RC, + RC' 是 通过 用 原子 仿 射 约束 来 替换 形 如 
(aixi — arzı "ar, — a,X, — aoinc) ~ 0 
(a, 2, + an Xe oF ApEn) ~ ao 

的 原子 仿 射 约束 得 到 的 (S; U {inc}，S4) 上 的 仿 射 公式 

公式 B' 是 仿 射 公式 A、CI、Rename CI, Se, Si 和 RC 的 合 取 。 

为 了 从 公式 B' 获 得 需要 的 时 间 后 像 B， 我 们 使 用 量词 消去 在 时 间 持 续 中 的 连续 变化 变量 
的 开始 值 ， 并 且 把 所 有 转换 后 的 变量 x' 重 命名 回 z。 因 此 ， 区 域 A 的 时 间 后 像 TimedPost 
A, CI, RC 定义 为 

Rename(Exists(Conj(A,CI,Rename(Cl,S.,,S’),RC),S, U {inc}),S’,S.) 

为 了 说 明 时 间 后 像 的 计算 ,假设 有 两 个 连续 更 新 变量 + 和 y 
y 并 且 没 有 离散 变量 。 假 设 区 域 A 由 (1 委 z 委 3) A A< 
2 委 2) 给 出 (如 图 9-28 中 的 和 矩形) 。 假 设 连 续 时 间 不 变量 是 
(zx 二 5)， 比 率 约束 为 [(z ==1) 人 (一 1 二 y 二 一 0.5)。 这 意 
味 着 在 时 间 动 作 中 ， 状 态 在 锥 形 边界 的 演化 沿 着 线 在 一 1 
到 一 0. 5 之 间 演 变 ， 同 时 z 的 值 不 超过 5。 为 了 计算 时 间 
后 图 像 ， 我 们 首先 引入 转换 后 的 变量 zx 和 y 和 持续 时 间 


x=S 





(3,2) 


变量 inc。 迁 移 比率 约束 RC 是 : (5 -3) 
[zxz' 一 z) 一 inc] 和 [一 inc 受 (Cy — y) <—0. 5inc] 
公式 BEAR: 图 9-28 ”时间 后 像 计 算 的 例子 


Q<2<43) 0 OSy<2) A (2#<5)'A G'S) A 
(2’ —x = ince) A [—ine< Cy’ — y) <—0. 5inc] 

通过 从 下 式 中 消去 变量 z、y 和 inc 并 将 x' 重 命名 为 xz， 将 y 重 命名 为 y 得 到 需要 的 
区 域 B， 最 后 的 结果 等 价 于 仿 射 公式 : 

(x >1) A (y<2) A (Ce <5) A Cat y>2) A (at 2y <7) 

在 图 9-28 中 ， 和 矩形 A 的 时 间 后 像 是 顶点 为 (1，1)、(1,， 2), G, 2. 6, DAG, 
一 3) 的 五 边 形 。 

对 于 追赶 游戏 的 例子 ， 可 能 没有 从 初始 状态 开始 的 正 持续 时 间 的 时 间 动 作 ( 因 为 时 钟 
x=2), KH Init 的 时 间 后 像 是 Init 本 身 。 通 过 将 离散 后 像 运 算 应 用 到 Init 得 到 的 区 域 Al 
的 时 间 后 像 是 仿 射 公式 

(mode = CIW A (OS z<) AM(e Hv 20) A 10—0.52 <= pl0+6z) 

迭代 图 像 计算 

线性 混成 自动 机 区 域 的 区 域 A 的 后 像 只 是 它 的 离散 后 像 和 时 间 后 像 的 并 (或 者 析 取 ): 

Post(A,Trans,CI,RC) = Disj(Discretepst(A,Trans),TimedPost(A,CI,RC)) 

为 了 检查 状态 变量 S 上 的 属性 p 是 否 是 不 变量 (或 者 ， 等 价 地 ， 否 定 属性 `p 是 否 是 
可 达 的 ), 我 们 现在 可 以 使 用 基于 区 域 表示 的 图 3-18 中 的 符号 广度 优先 算法 作为 仿 射 
DSBs 

这 种 表示 的 复杂 性 ， 即 ， 表 示 可 达 状 态 的 当前 集合 的 仿 射 公式 的 大 小 ， 随 着 迭代 次 数 
的 增加 而 迅速 增长 。 线 性 混成 状态 机 的 符号 可 达 性 分 析 工 具 ， 例 如 HYTECH 和 SPACE- 
EX， 采 用 了 许多 优化 方法 来 改进 计算 效率 。 当 线性 混成 自动 机 包含 n 个 连续 更 新 变量 时 ， 
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每 个 原子 仿 射 约束 都 是 一 个 实 值 失 量 的 维 空 间 中 的 超 平面 。 那么 合 取 仿 射 公式 是 一 个 n 
维 空间 中 的 多 面体 。 处 理 仿 射 公式 的 优化 基于 采用 多 面体 的 蔡 代 表示 和 简化 这 些 表示 的 算 
法 。 例 如 ， 给 定 作为 原子 仿 射 约束 的 合 取 的 多 面体 ， 如 果 有 一 个 约束 没有 表示 多 面体 的 边 
界面 ， 那 么 这 个 约束 可 以 消去 。 

甚至 当 线性 混成 自动 机 只 有 有 限 多 个 离散 状态 ， 符 号 可 达 性 算法 可 能 也 终止 不 了 。 例 
如 ， 考 虑 图 9-29 中 的 线性 混成 自动 机 ， 这 个 自动 机 有 一 个 单一 模式 和 两 个 连续 更 新 变量 。 
两 个 变量 的 初始 值 都 是 0。 变 量 z 的 变化 率 为 1， 变 量 y 的 变化 率 为 2。 最 初 ， 两 个 变量 的 
值 都 是 0。 在 符号 搜索 的 第 一 次 迭代 中 
发 现 的 可 达 状 态 的 集合 是 连接 (0，0) 和 
(1/2，1) 的 线段 。 在 下 一 次 近代 中 ， 当 
y 的 值 为 1 时 ，z 的 值 为 1/4， 离 散 模 式 
切换 将 状态 更 新 为 (0，1/4)。 这 种 模式 
永远 重复 (如 图 9-29 所 示 )。 这 个 系统 的 
可 达 状 态 集 合 包 含 无 限 多 个 不 连接 的 线 
Wr: 第 个 线段 连接 状态 (0，1 一 1/2*) 
和 (1/2:+1，1)。 图 9-29 不 终止 的 符号 图 像 计 算 的 例子 

显然 符号 广度 优先 搜索 算法 持续 迭代 来 发 现 越 来 越 短 的 这 种 线段 。 与 此 相反 ， 与 7.3 
节 中 的 时 间 自 动机 一 样 ， 所 有 连续 更 新 变量 以 相同 的 变化 率 递增 ， 如 果 时 间 状 态 机 有 有 限 
多 个 离散 状态 ， 那 么 基于 时 钟 区 (或 时 钟 区 域 ) 的 符号 表示 的 符号 可 达 性 算法 一 定 是 可 以 停 
止 的 。 

追赶 游戏 的 分 析 

可 以 用 于 确定 图 9-26 中 的 逃避 者 策略 的 符号 可 达 性 分 析 是 给 定 初 始 位 置 的 获胜 策略 。 
为 此 ， 执 行 图 3-18 中 的 符号 广度 优先 搜索 算法 来 检查 属性 (e 一 p= 二 0) 是 否 是 可 达 的 ; 如 果 
发 现 这 个 属性 是 可 达 的 ， 那么 追捕 者 赢得 比赛 ; 否则， 逃避 者 赢得 比赛 。 

对 于 初始 位 置 6 二 20 和 po=1, TE 4 KIER, EMRE p=O MIAN. Ak, 
在 这 个 情况 下 ， 追 捕 者 将 获胜 。 

对 于 初始 位 置 = 二 20 和 po 二 10， 在 5 次 迭代 后 ,算法 终止 并 且 计 算出 了 所 有 可 达 的 
状态 ， 没 有 发 现 属性 (e 一 p==0) 成 立 的 状态 。 可 达 状 态 集合 由 下 式 给 出 : 





mode = C1kW 入 e= 20 A p= 10 Ax=2 
V mode = ClkW Ne US A 10—O.5¢=p=.10+6% A Dx 2x2 
V mode = C1kW jlTe=—s0 oe NN 9—0lb2 =) = 22 bz C= 22 
V mode = Rescued A e=0 NES plM A. = 2 


现在 假设 , 已 经 固定 逃避 者 的 初始 位 置 eo。 二 20， 我 们 想 要 计算 逃避 者 赢得 比赛 的 追赶 
者 的 初始 位 置 po 的 集合 。 这 个 可 以 使 用 相同 的 符号 可 达 性 算法 来 实现 , 但 将 初始 位 置 po 
作为 另 一 个 符号 变量 来 处 理 。 形 式 上 ， 我 们 修改 图 9-26 的 线性 混成 自动 机 ， 增 加 了 4 个 
连续 更 新 变量 加。 这 个 变量 的 值 不 会 改变 ; 在 每 个 模式 ， 通 过 增加 合 取 项 (2v 王 0) 来 修改 
比率 约束 。 初 始 条 件 现 在 是 公式 

(mode = C1kW) A (x = 2) A (e = 20) A (p— po = 0) 

然后 ， 我 们 应 用 迭代 图 像 计 算 算 法 直到 所 有 的 可 达 状 态 都 计算 过 。 如 果 变 量 mode、 

xz, e, pA po 上 的 仿 射 公式 Reach 表示 所 有 的 可 达 状 态 ， 那 么 公式 
Exists(Conj(Reach,(e— p = 0)),{mode,p,z,e}) 
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是 一 个 只 包含 变量 po 的 仿 射 公 式 ， 它 给 出 确保 追捕 者 获胜 的 追捕 者 初始 位 置 的 约束 。 使 
用 HYTECH 工具 进行 计算 ， 公式 得 出 (0 二 po 声 2) 和 (16 志 po 声 40)。 这 个 例子 告诉 我 们 当 
逃避 者 的 初始 位 置 为 20 时 ， 并 且 当 追捕 者 的 初始 位 置 在 区 间 (2，16) 中 时 ， 逃 避 者 赢得 
比赛 。 
练习 9. 13: 给 定 AffForm 类 型 的 两 个 公式 A 和 B， 请 阐述 如 果实 现 运算 Diff(A，B)， 也 就 是 说 ， 如 
何 计算 一 个 公式 ， 它 是 D 等 价 于 逻辑 公式 A 人 “B; 2) AffForm 类 型 。 
练习 9. 14: 请 描述 放射 公式 数据 类 型 的 存在 量化 的 一 般 实现 过 程 :给 定 (V.，Vs) 上 的 仿 射 公式 A 和 变量 
XEV.UVs， 请 阐述 如 何 获 得 Exists(4A，z) 的 仿 射 公式 。 
练习 9. 15: 考虑 以 下 合 取 仿 射 公式 给 出 的 区 域 A: 
(— 2, +62, <17) A Ga +1223 <1) A (22, — 3x. +52, <7) A 
(7z2 — 23 — 82, > 0) A C52; +222 — 23 S>— 5) 
计算 作为 仿 射 公 式 的 区 域 Exists(A, z). k 
练习 9. 16: 假设 线性 混成 自动 机 包含 两 个 连续 更 新 变量 z 和 y， 并且 没有 离散 变量 。 考 虑 以 顶点 为 (0， 


0)、，2) 和 (2，1) 的 三 角形 区 域 。 假设 连 续 时 间 不 变量 是 (xz 一 y 夺 科 且 比率 约束 是 (+ 二 1) 
人 (0. 5 二 y 志 1)。 请 计算 区 域 A 的 时 间 后 像 并 将 它 描述 为 仿 射 公式 。 
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similarity transformation( 相 似 变换 ) 256 
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simulation-based invariant verification( 基 于 模拟 的 
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SplitDelay(SplitDelay 构件 )，30 
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stability test( 稳 定性 测试 ) 261 
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264 
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stack, 93 
state( 状 态 ) 15, 18, 66, 130, 236, 294, 382 
state, 88 
state machine RÆ HL), 19 
state signal CRAIR S), 235, 384 
state variable (4k AS Æ BE), 14, 18, 66, 130, 236, 
294, 382 
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state-space representation RAZ [a] HAR), 239 
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steady-state error( 稳 态 误差 )，272 
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Switch(Switch 构件 )，19 
symbolic breadth-first search( 符 合 深度 优先 搜索 ) 
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representing transition system( 表 示 迁 移 系 统 )，98 


281 





symbolic representation  #¥ 3 #78), 97, 217, 421 
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breadth-first search algorithm (广度 优先 搜索 算 
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synchronous computation model( 同 步 计 算 模 型 )， 
13, 49, 232 
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嵌入 式 系 统 导论 : CPS 方 法 


#3. 978-7-111-36021-6 作者 ， Edward Ashford Lee 等 译 者 ， 李 实 英 等 定价 ，55.00 元 


不 同 于 大 多 数 嵌入 式 系 统 的 书籍 着 重 于 计算 机 技术 在 嵌入 式 系 统 中 的 应 用 ， 本 书 的 重点 则 是 
论述 系统 模型 与 系统 实现 的 关系 ， 以 及 软件 和 硬件 与 物理 环境 的 相互 作用 。 本 书 是 业界 第 一 本 关于 
CPS( 信 息 物理 系统 ) 的 专著 。CPS 将 计算 、 网 络 和 物理 过 程 集成 在 一 起 ，CP5 的 建 模 、 设 计 和 分 析 
成 为 本 书 的 重点 。 

全 书 从 CPS 的 视角 ， 围 绕 系统 的 建 模 、 设 计 和 分 析 三 方面 ， 深 入 浅 出 地 介绍 了 设计 和 实现 CPS 
的 整体 过 程 及 各 个 阶段 的 细节 。 建 模 部 分 介绍 如 何 模拟 物理 系统 ， 主 要 关注 动态 行为 模型 ， 包 括 动 
态 建 模 、 离 散 建 模 和 混合 建 模 ， 以 及 状态 机 的 并 发 组 合 与 并 行 计算 模型 。 设 计 部 分 强调 代入 式 系 统 
中 处 理 器 、 存 储 器 架构 、 输 入 和 输出 、 多 任务 处 理 和 实时 调度 的 算法 与 设计 ， 以 及 这 些 设计 在 CPS 
中 的 主要 作用 。 分 析 部 分 重点 介绍 一 些 系 统 特性 的 精确 规格 、 规 格 之 间 的 比较 方法 、 规 格 与 产品 设 
计 的 分 析 方 法 以 及 嵌入 式 软件 特性 的 定量 分 析 方 法 。 此 外 ， 两 个 附录 提供 了 一 些 数 学 和 计算 机 科学 
的 背景 知识 ， 有 助 于 加 深 读者 对 文中 所 给 知识 的 理解 。 


推荐 阅读 





从 M2M 到 物 联 网 : 架构 、 技 术 及 应 用 


书号 : 978-7-111-54182-0 作者 : 杨 ' BS ES: FKR 定价 ; 69.00 元 


“M2M 向 未 来 物 联网 的 发 展 和 演化 仪 仅 只 是 一 个 真正 互联 、 智 慧 和 可 持续 发 展 
世界 的 开始 ”。 


本 书 由 长 期 从 事 M2M 和 物 联 网 领域 研发 的 技术 和 商务 专家 撰写 ， 他 们 致力 于 从 不 同 视角 勾画 
出 一 个 完整 的 物 联网 技术 体系 架构 。 书 中 全 面 而 又 详实 地 论述 了 M2M 和 物 联网 通信 与 服务 的 关键 技 
术 ， 以 及 向 物 联 网 演进 的 过 程 中 所 要 应 对 的 挑战 与 需求 ， 同 时 还 介绍 了 主要 的 国际 标准 和 一 些 业 界 
最 新 研究 成 果 。 本 书 在 强调 概念 的 同时 ， 通 过 范例 讲解 概念 和 相关 的 技术 ， 力 求 进行 深入 浅 出 的 阅 
明和 论述 。 因 此 ， 本 书 既 适合 国内 高 等 院 校 用 作 信 息 与 通信 类 专业 教材 ， 也 可 以 供 有 意 在 物 联网 方 
向 发 展 的 非 专 业 读者 作为 参考 书 。 
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信息 物理 融合 系统 (CPS ) 原理 


Principles of Cyber-Physical Systems 


“这 是 第 一 本 全 面 介绍 信息 物理 融合 系统 这 个 新 兴 领 域 的 书籍 ， 行 文 优雅 ， 并 给 出 严谨 的 理论 基础 ”本 书写 得 非 
| 


一 一 Joseph Sifakis， 瑞 士 洛桑 联邦 理工 学 院 教授 ，2007 年 图 灵 奖 获得 者 


“信息 物理 融合 系统 在 现代 社会 无 处 不 在 ”航空 、 汽 车 和 日 常生 活 的 各 个 层面 都 与 它 息息相关 所以， 至 关 重 要 
的 是 系统 的 正确 性 ， 因 为 人 们 的 生命 有 可 能 依赖 于 这 类 系统 的 正确 性 ”本 书 是 一 本 能 够 引导 研究 者 了 和 解 这 些 复杂 和 高 
难度 技术 的 优秀 书籍 ”因此 ,无论 是 自学 还 是 课堂 教学 使 用 ,我 都 热心 地 推荐 这 本 书 


一 一 Edmund M.Clarke， 卡 内 基 梅 隆 大 学 计算 机 科学 系 教授 ，2007 年 图 灵 奖 获得 者 


信息 物理 融合 系统 由 能 够 相互 通信 的 计算 设备 组 成 ， 这 些 计算 设备 借助 传感器 和 作 动 器 与 物理 世界 实现 反馈 闭环 式 交 
互 。 在 现实 生活 中 ， 这 样 的 系统 应 用 越 来 越 多 ， 也 越 来 越 普遍 ， 如 智能 建筑 、 医 疗 设备 、 汽 车 等 都 可 以 看 作 信息 物理 融合 系 
统 的 应 用 。 本 书 严谨 而 全 面 地 介绍 了 信息 物理 融合 系统 的 设计 、 规 约 、 建 模 和 分 析 等 技术 原理 ， 并 揭示 了 与 信息 物理 融合 系 
统 的 设计 和 分 析 技 术 相 关 的 众多 分 支 学 科 的 核心 思想 ， 这 些 分 支 学 科 包 括 基 于 模型 的 设计 方法 、 并 发 理论 、 分 布 式 算法 、 形 
式 化 的 系统 规约 和 验证 方法 、 控 制 理论 、 实 时 系统 和 混成 系统 等 。 

本 书 阐述 了 如 何 利用 形式 化 模型 提供 的 数学 抽象 方法 来 进行 复杂 系统 的 设计 。 这 些 形式 化 模型 包括 并 发 系统 的 抽象 模型 
( 同步 模型 和 异步 模型 ) 、 动 态 系统 的 抽象 模型 ( 连续 时 间 模 型 ) 以 及 集成 离散 和 连续 演化 的 抽象 模型 ( 混成 系统 ) 。 在 可 
靠 系统 设计 过 程 中 ， 通 过 形式 化 规约 和 相关 联 的 形式 化 验证 技术 来 阐述 Se ee, nae 题 包 括 安全 性 和 活性 


需求 、 时 序 罗 辑 、 模 型 检验 、 推 导 验 证 、 线 性 系统 的 稳定 性 分 析 和 实时 调度 算法 等 。 本 书 还 造 典 型 设计 问题 的 解决 思 
路 来 阐述 系统 建 模 、 规 约 和 分 析 的 技术 原理 所 涉及 的 技术 方法 ， 如 分 布 式 算法 、 网 络 协议 、 ea 
理论 。 


本 书 为 信息 物理 融合 系统 的 快速 发 展 提 供 了 基础 ， 它 既 适 合 课堂 教学 使 用 ， 也 适合 专家 参考 。 
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